Il réussit à voler 10 000 $ avec Apple Pay sans déverrouiller l’iPhone

👨 Alexandre Godard
Il y a 3 heures (Màj il y a 2 heures)
💬 1 com

Une démonstration spectaculaire relance les inquiétudes autour de la sécurité des paiements sans contact. Une faille exploitée en direct montre qu’un iPhone peut être débité sans aucune validation de son utilisateur même si le processus est très complexe.

Apple Pay piraté en direct : pas facile mais possible

Il y a des expériences qui font froid dans le dos, même quand elles se passent dans un cadre contrôlé. La chaîne YouTube Veritasium vient d’en offrir une particulièrement saisissante : sous les yeux de Marques Brownlee, alias MKBHD, son iPhone verrouillé a été débité de 10 000 dollars sans qu’il n’ait jamais touché son téléphone, entré son code, ni validé quoi que ce soit avec Face ID.

L’expérience repose sur une faille documentée dans l’implémentation du protocole de paiement sans contact de Visa. Les chercheurs à l’origine de cette découverte, issus du monde académique, ont mis en évidence une vulnérabilité dans le mode transit d’Apple Pay, cette fonction conçue à l’origine pour fluidifier les passages en transport en commun. Dans les métros et les bus, le téléphone peut autoriser de petits paiements rapides sans confirmation biométrique, pour éviter de ralentir les files. Le problème c'est qu'en manipulant la communication NFC entre le terminal et l’appareil, il est possible de faire croire au système qu’un paiement de plusieurs milliers d’euros relève de ce même mode express.

Visa est particulièrement exposé en raison de la façon dont son protocole gère l’authentification côté terminal. Mastercard, dont l’architecture impose des vérifications différentes, est beaucoup moins vulnérable à cette attaque spécifique. La vidéo explique également le rôle du chiffrement RSA dans la chaîne de validation bancaire, et pourquoi cette couche de sécurité ne suffit pas à combler cette brèche précise.

Apple Pay est de plus en plus visé par du phishing, voici comment l'éviter

Rassurant dans la vraie vie ? En partie. L’attaque nécessite un terminal modifié et un accès physique direct à l’appareil de la victime. Ce n’est pas le genre de chose qu’un pickpocket ordinaire peut improviser dans le métro ou ailleurs. Mais la démonstration reste symboliquement forte : Apple Pay, souvent présenté comme plus sûr que la carte physique, repose en partie sur des protocoles bancaires dont les faiblesses sont connues depuis plusieurs années sans avoir été entièrement corrigées. Bien que Visa reste le principal responsable ici.

Visa a justement réagi et indique être en train de développer un correctif. En attendant, cela rappelle une fois de plus qu’il est essentiel de rester vigilant lors de l’utilisation d’appareils électroniques et de la gestion de données bancaires.