Une faille d'Apple Pay permettant d'effectuer des paiements sans contact non autorisés a été repérée par des universitaires britanniques. Elle concerne le mode Express qui sert dans les transports en commun. La carte de paiement n’a pas besoin d’authentification (avec Face ID, Touch ID ou un code) ce qui permet de valider rapidement son trajet en approchant le téléphone ou la montre du lecteur, comme avec une carte normale. Les chercheurs ont réussi à abuser ce système « en faisant croire à un iPhone qu'il parlait à un portail de transports en commun », rapporte ZDNet.
Le problème ne concerne que les cartes Visa configurées dans ce mode express. Il est lié à l'utilisation d'un code unique (« Magic bytes ») destiné à déverrouiller Apple Pay qui est diffusé par les portiques des différentes entreprises de transport en commun. La fraude consiste à se servir d’un équipement radio pour faire croire à l'iPhone qu'il communique avec un de ces portiques. Derrière, un téléphone Android embarque une app spécifique pour rediriger le signal vers un terminal de paiement. L’iPhone pense avoir à faire à un portique, il n'est pas nécessaire qu'il soit déverrouillé et le paiement est validé à l’insu de l’utilisateur.
Une vidéo plus détaillée est disponible ici et l'on peut voir un paiement de 1 000 £ effectué à tort. Le modèle de téléphone ne change pas, l'expérience ayant été effectuée avec un iPhone 7 et un iPhone 12, la faille de sécurité est liée au réseau de paiement Visa. Visa comme Apple sont au courant du problème depuis plusieurs mois et les deux entreprises ont reconnu la faille, sans toutefois l’avoir corrigée à ce jour.
La Pomme rejette la faute sur Visa, qui se défend en expliquant que différents schémas de fraude sans contact ont été étudiés en laboratoire pendant « plus d'une décennie » sans qu'ils ne se montrent forcément réalisables en pratique. Les chercheurs déplorent qu'aucune des deux entreprises ne prenne la responsabilité (même partielle) du problème et n'ait diffusé de correctif. Visa rappelle cependant que si un paiement de ce type se produisait, les clients restent protégés par sa politique de responsabilité.
ZDNet observe que si cette attaque peut faire peur, elle n'est pas vraiment applicable à grande échelle. Les chercheurs en sécurité ont testé plusieurs combinaisons et seules les cartes Visa configurées en paiement express dans Apple Pay sont concernées, ce n’est pas le cas des cartes Mastercard ou American Express. Ils ont aussi testé avec Samsung Pay, sans succès.
Source : ZDNet
