Une faille dans Apple Pay permet de payer sans validation
- 👨 Alban Martin
- Il y a 3 ans
- 💬 10 coms
Apple et VISA sont concernés par le bug
Des chercheurs des départements d'informatique des universités de Birmingham et de Surrey au Royaume-Uni ont publié leurs conclusions sur la façon dont une attaque active de type Man-in-the-Middle pourrait être utilisée pour contourner l'écran de verrouillage Apple Pay pour tout iPhone doté d'une carte Visa configurée en mode transit. Le document indique :
L'écran de verrouillage Apple Pay peut être contourné pour tout iPhone doté d'une carte Visa configurée en mode transit. La limite sans contact peut également être contournée, ce qui permet des transactions sans contact illimitées à partir d'un iPhone verrouillé. Un attaquant n'a besoin que d'un iPhone volé et sous tension. Les transactions pourraient également être relayées à partir d'un iPhone à l'intérieur du sac de quelqu'un, à son insu. L'attaquant n'a besoin d'aucune aide du commerçant et les contrôles de détection de la fraude backend n'ont pas arrêté aucun de nos paiements de test.
Les chercheurs ont même fait la démonstration en vidéo avec un paiement de 1 000 £ prélevé sur un iPhone verrouillé à l'aide d'un lecteur de cartes bancaires standard que vous trouverez dans n'importe quel magasin. Les chercheurs affirment que l'attaque "est rendue possible par une combinaison de défauts dans Apple Pay et le système de Visa", de sorte qu'elle ne fonctionnerait pas avec une autre carte comme Mastercard, ou avec Visa sur toute autre plate-forme telle que Samsung ou Google Play.
Les chercheurs disent qu'Apple ou Visa "pourraient atténuer cette attaque par eux-mêmes", mais après avoir présenté les informations "il y a des mois", ils n'ont pas toujours pas corrigé le système et que la vulnérabilité reste en ligne. En fait, les experts recommandent que tous les utilisateurs d'iPhone vérifient qu'ils n'ont pas de carte Visa configurée en mode de transport. Dans le cas contraire, ils devraient la désactiver.
Selon la BBC, Apple affirme que le problème est chez son partenaire Visa :
Nous prenons très au sérieux toute menace pour la sécurité des utilisateurs. C'est une préoccupation avec un système Visa, mais Visa ne pense pas que ce type de fraude soit susceptible de se produire dans le monde réel compte tenu des multiples niveaux de sécurité en place.
Dans le cas peu probable où un paiement non autorisé se produirait, Visa a clairement indiqué que leurs titulaires de carte sont protégés par la politique de responsabilité zéro de Visa.
De son côté, Visa affirme que "les cartes Visa connectées à Apple Pay Express Transit sont sécurisées, et les titulaires de carte devraient continuer à les utiliser en toute confiance". Il a en outre déclaré que "les stratagèmes de fraude sans contact sont étudiées en laboratoire depuis plus d'une décennie et sont très difficiles à exécuter à grande échelle dans le monde réel".
L'un des chercheurs, le Dr. Andreea Radu, a déclaré au média que bien que l'attaque ait un degré élevé de complexité technique "les récompenses de l'attaque sont assez élevées" et pourraient donc motiver des personnes malveillantes.