Apple Pay : un bug permet à n’importe qui d’effectuer des paiements frauduleux à votre insu
Des chercheurs britanniques ont mis au jour une vulnérabilité dans le service Apple Pay. Des individus malveillants pourraient ainsi faire fi de l’écran de verrouillage du smartphone afin de réaliser un paiement sans contact à l’insu de l’utilisateur. Seules les cartes Visa sont toutefois concernées.
Apple Pay permet d’intégrer une carte bancaire dans votre iPhone ou votre Apple Watch. Ce faisant, vous pouvez réaliser des paiements sans contact directement avec votre appareil. Des chercheurs viennent toutefois d’alerter les utilisateurs sur une faille problématique touchant exclusivement les cartes Visa. Pour rappel, celles-ci peuvent être programmées en mode « Transport Express ». Une fonctionnalité d’Apple Pay qui permet aux utilisateurs de payer rapidement dans les transports en commun. Ils n’ont ainsi pas besoin de déverrouiller leur smartphone au moment de procéder au paiement.
Comme le relate la BBC, les chercheurs ont réalisé une expérience où ils sont parvenus à flouer l’iPhone. Ils ont pu émuler une transaction en utilisant un appareil Proxmark. Lequel fait office de lecteur de carte communiquant avec l’iPhone cible. Pendant ce temps, un téléphone Android doté d’une puce NFC relaie les signaux du smartphone visé vers un terminal de paiement sans contact.
Lire aussi >> Carte bancaire : méfiance, les arnaques au paiement sans contact se multiplient
Apple Pay : une vulnérabilité toujours pas comblée
En bref, l’iPhone estime qu’il est utilisé pour payer un ticket. Si bien qu’il procède au paiement sans être déverrouillé en amont. Outrepassant le code pin ou Face ID, les chercheurs ont ainsi réussi à réaliser un paiement de 1000 £. Précisons toutefois que la viabilité de cette technique malicieuse a seulement été prouvée en laboratoire. Il n’y a ainsi aucune preuve que des criminels procèdent actuellement à ce type d’attaque. Mais celle-ci pourrait bel et bien s’imposer à l’avenir. D’où la nécessité de la mise en place d’un correctif digne de ce nom.
Apple et Visa ont été mis au parfum. Mais les deux entreprises n’ont pas encore solutionné le problème. « Des variantes de schémas de fraude sans contact ont été étudiées en laboratoire depuis plus d’une décennie et se sont avérées peu pratiques à exécuter à grande échelle dans le monde réel », a notamment tempéré Visa dans les colonnes de la BBC.
De son côté, Apple confie prendre « très au sérieux toute menace pour la sécurité des utilisateurs. C’est un problème avec le système Visa mais ce dernier estime qu’il est très peu probable que ce type de fraude se produise dans le monde réel en raison des multiples niveaux de sécurité »