Une faille dans Apple Pay permet de payer sans validation

Une nouvelle étude de sécurité affirme qu'une faille dans le mode transport express d'Apple Pay peut être utilisée pour effectuer des paiements par carte Visa non autorisés et contourner la limite sans contact.

 

Apple et VISA sont concernés par le bug

Des chercheurs des départements d'informatique des universités de Birmingham et de Surrey au Royaume-Uni ont publié leurs conclusions sur la façon dont une attaque active de type Man-in-the-Middle pourrait être utilisée pour contourner l'écran de verrouillage Apple Pay pour tout iPhone doté d'une carte Visa configurée en mode transit. Le document indique :

L'écran de verrouillage Apple Pay peut être contourné pour tout iPhone doté d'une carte Visa configurée en mode transit. La limite sans contact peut également être contournée, ce qui permet des transactions sans contact illimitées à partir d'un iPhone verrouillé. Un attaquant n'a besoin que d'un iPhone volé et sous tension. Les transactions pourraient également être relayées à partir d'un iPhone à l'intérieur du sac de quelqu'un, à son insu. L'attaquant n'a besoin d'aucune aide du commerçant et les contrôles de détection de la fraude backend n'ont pas arrêté aucun de nos paiements de test.


 

Les chercheurs ont même fait la démonstration en vidéo avec un paiement de 1 000 £ prélevé sur un iPhone verrouillé à l'aide d'un lecteur de cartes bancaires standard que vous trouverez dans n'importe quel magasin. Les chercheurs affirment que l'attaque "est rendue possible par une combinaison de défauts dans Apple Pay et le système de Visa", de sorte qu'elle ne fonctionnerait pas avec une autre carte comme Mastercard, ou avec Visa sur toute autre plate-forme telle que Samsung ou Google Play.

Les chercheurs disent qu'Apple ou Visa "pourraient atténuer cette attaque par eux-mêmes", mais après avoir présenté les informations "il y a des mois", ils n'ont pas toujours pas corrigé le système et que la vulnérabilité reste en ligne. En fait, les experts recommandent que tous les utilisateurs d'iPhone vérifient qu'ils n'ont pas de carte Visa configurée en mode de transport. Dans le cas contraire, ils devraient la désactiver.

Selon la BBC, Apple affirme que le problème est chez son partenaire Visa :

Nous prenons très au sérieux toute menace pour la sécurité des utilisateurs. C'est une préoccupation avec un système Visa, mais Visa ne pense pas que ce type de fraude soit susceptible de se produire dans le monde réel compte tenu des multiples niveaux de sécurité en place.

Dans le cas peu probable où un paiement non autorisé se produirait, Visa a clairement indiqué que leurs titulaires de carte sont protégés par la politique de responsabilité zéro de Visa.

De son côté, Visa affirme que "les cartes Visa connectées à Apple Pay Express Transit sont sécurisées, et les titulaires de carte devraient continuer à les utiliser en toute confiance". Il a en outre déclaré que "les stratagèmes de fraude sans contact sont étudiées en laboratoire depuis plus d'une décennie et sont très difficiles à exécuter à grande échelle dans le monde réel".

L'un des chercheurs, le Dr. Andreea Radu, a déclaré au média que bien que l'attaque ait un degré élevé de complexité technique "les récompenses de l'attaque sont assez élevées" et pourraient donc motiver des personnes malveillantes.

Vous aimerez peut-être

Nos derniers articles

Suivez-nous avec notre app iSoft
Articles populaires
Donner votre avis
Les réactions

10 indalo - iPhone

03/10/2021 à 14h41 :

En même temps dans ce même réglage il est clairement noté que :
« Les carte de Transport express fonctionneront sans que vous ayez à utiliser Face ID ou votre code »

Et donc par conséquent iPhone verrouillé cela fonctionne automatiquement.

Par conséquent je ne visualise pas trop le problème. Cela ne doit concerné que les cartes de transport style « pass navigo » à Paris, qui sauf erreur de ma part sons préchargé d’un certains montant.

🤔

9 kgb8 - iPhone

01/10/2021 à 11h05 :

Merci Tricasse👍

8 oliver60 - iPhone

30/09/2021 à 17h36 :

@Yit - iPhone premium
Non, tu peux laisser touch/faceid activé car cela n’a rien à voir avec le problème.
Il faut aller dans réglages / carte Apple Pay et s’assurer que dans la partie transport express tu n’aies pas une carte Visa de renseignée 👍

7 Yit - iPhone premium

30/09/2021 à 15h57 :

@Tricasse - iPad
Ah merci donc en gros la « faille » ne fonctionne qui si on désactive FaceId / TouchId / code, c’est ça ? Mais c’est le principe de ce mode, non ?

6 Tricasse - iPad

30/09/2021 à 14h35 :

@kgb8 - iPhone
Réglages/ Cartes et ApplePay/carte de transport express

5 X2Stone - iPhone

30/09/2021 à 13h31 :

C’est quoi « mode transport / transit » ???

4 kgb8 - iPhone

30/09/2021 à 12h45 :

Comment vérifier que sa carte est en mode transport ?

3 MayBeMe - iPhone premium

30/09/2021 à 12h40 :

@AlienFall - iPhone premium
Sa enlève beaucoup d’intérêt à Apple pay aussi de faire ça. C’est devenu un reflex de l’avoir directement sur le lockscreen

2 Titank - iPhone

30/09/2021 à 12h38 :

@AlienFall - iPhone premium
👌🏻👌🏻

1 AlienFall - iPhone premium

30/09/2021 à 12h26 :

Réglage -> Touch/Face Id et code
Autoriser en écran verrouiller
Désactiver Carte/wallet

Problème solved