Utiliser l’Apple Pay avec une carte Visa peut potentiellement permettre à des pirates de réaliser des paiements sans contact et sans limite. © Université de Birmingham
Tech

Une faille dans Apple Pay et Visa permet à des pirates d'effectuer des paiements sans contact

ActualitéClassé sous :cybersécurité , Apple , Apple Pay

-

Des chercheurs ont découvert des vulnérabilités dans Apple Pay. Associée avec une carte Visa, la faille peut permettre à des pirates de contourner l'écran de verrouillage pour réaliser des règlements sans contact et sans plafond sur n'importe quel terminal de paiement.

Cela vous intéressera aussi

[EN VIDÉO] L’incroyable trajet du trafic internet mondial  Lorsqu’on se connecte à Internet, nos données empruntent un très long trajet. Un email parcourt ainsi en moyenne 15.000 km pour parvenir à destination ! 

Hier, Futura relatait les déboires de ses AirTag en matière de sécurité et l'inertie dont fait montre Apple pour colmater ses brèches de sécurité. Aujourd'hui, c'est une nouvelle vulnérabilité qui touche l'Apple Pay en lien avec Visa qui a été révélée. Cette faille pourrait permettre à des pirates de passer outre le verrouillage d'un iPhone pour réaliser des paiements sans contact. La brèche a été découverte au Royaume-Uni par des chercheurs de l'Université de Birmingham et de l'Université de Surrey. Elle sera présentée lors du prochain Symposium IEEE 2022 sur la sécurité et la confidentialité.

Le hic, c'est que grâce à cette vulnérabilité, il est même possible pour le pirate d'aller au-delà de la limite du paiement sans contact pour débiter les sommes. Pour pouvoir exploiter cette faille, il faut qu'un réglage particulier soit activé sur l'iPhone. Il s'agit du mode de transport express. Il permet de payer sans contact un trajet sur une borne d'accès à un métro par exemple, sans avoir besoin de déverrouiller le téléphone. Il faut également souligner que le problème n'affecte que les comptes Apple Pay associés à une carte Visa.

Une faille qui ne sera peut-être jamais corrigée

Les chercheurs ont pu constater que, lorsque l'on passe l'iPhone sur un capteur sans fil d'une entrée de métro, la borne diffuse alors un code unique au téléphone. En récupérant ce code, en l'intégrant à un simple terminal de paiement sans contact et en modifiant les protocoles de l'appareil, les scientifiques ont fait croire à l'iPhone qu'il s'agissait d'une borne d'accès à un tourniquet. Ces modifications ont enclenché le règlement de la somme affichée sur le lecteur de carte. Et justement, puisque ce code --que les chercheurs ont surnommé « code magique » -- ouvre grand la porte à n'importe quel terminal de paiement, il permet également d'autoriser des débits sans limitation de montant. De quoi piller un compte en banque en une seule fois et sans contact.

Là encore, les chercheurs ont discuté de cette faille avec Apple et Visa, et les deux parties se sont renvoyées la balle pour la mise en place d'un correctif. Puisque celui-ci risque de mettre des mois avant d'arriver, s'il est déployé un jour, mieux vaut désactiver cette option de paiement avec Apple Pay lorsque l'on a associé son compte à une carte Visa.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !