Une faille dans Apple Pay et Visa permettrait à des pirates de payer sans contact sur iPhone

01 octobre 2021 à 12h30
36
Apple Pay
© Apple

Une vulnérabilité présente dans le service « Transport express » d'Apple Pay permettrait à des pirates de réaliser des paiements frauduleux sur un iPhone verrouillé.

La faille n'est présente qu'en combinaison avec une carte Visa et peut permettre de réaliser des paiements sans limite de somme.

Des paiements frauduleux réalisés sans déverrouiller l'iPhone

En règle générale, un paiement réalisé à l'aide d'Apple Pay demande une confirmation, que ce soit à l'aide de Face ID , de Touch ID ou d'un code d'accès. Mais, pour faciliter le paiement dans les transports en commun, Apple a introduit la fonctionnalité « Transport express », qui permet de payer ses trajets sans avoir à déverrouiller son téléphone ou confirmer le paiement. Des chercheurs de deux universités anglaises, celle de Birmingham et celle de Surrey, se sont penchés sur la fonctionnalité et ont trouvé une faille lorsque la fonctionnalité était utilisée avec une carte Visa.

Pour déterminer que le paiement vient bien d'un service de transport, une séquence de bytes, des « magic bytes », est envoyée au téléphone pour passer outre le verrouillage d'écran. Cette méthode a permis aux chercheurs de réaliser une attaque de type « man-in-the-middle », plus précisément « replay and relay ». L'attaque fonctionne en envoyant les magic bytes vers l'iPhone, pour qu'il pense communiquer avec le lecteur EMV d'un service de transport. En plus de ça, certains paramètres doivent être activés, comme la Offline Data Authentification (ODA), qui permet de valider un paiement comme légitime sans nécessiter de connexion à Internet. Elle est particulièrement utile dans les transports, où elle permet aux utilisateurs de payer et de passer les portiques sans attendre que le terminal soit connecté.

Cette méthode fonctionne pour des paiements en dessous de la limite autorisée. Pour réaliser des paiements au-dessus, il faut modifier un paramètre supplémentaire pour faire croire au lecteur de carte EMV que l'utilisateur a validé la transaction. De cette manière, les chercheurs ont réussi à réaliser un paiement de 1 000 £ à partir d'un iPhone verrouillé.

Une vulnérabilité encore présente

Les chercheurs ont testé leur attaque dans le cas où une carte Mastercard est utilisée avec Apple Pay ou qu'une carte Visa est utilisée avec Samsung Pay. Aucune de ces deux combinaisons n'est vulnérable, la faille vient bien de la combinaison Apple Pay et Visa. Ils ont prévenu Apple de la vulnérabilité en octobre 2020 et Visa en mai 2021. Si elle n'est pas encore corrigée, c'est parce que les deux entreprises n'ont pas réussi à déterminer qui était en faute et qui devait la corriger.

En attendant, les chercheurs conseillent de ne pas utiliser sa carte Visa en mode « Transport express ». La vulnérabilité semble difficile à exploiter à la volée, sur un iPhone dans un sac par exemple, à cause du matériel et des modifications nécessaires. Un utilisateur dont le téléphone est volé ou perdu pourrait en revanche être beaucoup plus vulnérable. Dans ce cas, les chercheurs conseillent d'activer immédiatement le mode Perdu et de contacter sa banque.

Sources : TechXplore , Étude

Modifié le 01/10/2021 à 15h28
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
36
22
Jean66
C’est que le début des failles découvert , utiliser un intermédiaire (pire une société étrangère) et un smartphone pour payer alors qu’une simple CB ou liquide permet de payer simplement , c’est une bêtise
Nunu57
Mais c’est tellement plus la frime de sortir ton dernier IPhone pour payer qu’une Visa Gold
PierreKaiL
A partir d’une Apple Watch, plus classe non ?<br /> Evidement en ne se trompant pas avec le bouton pour la téléportation.<br /> -&gt;.
JP_Den
Moi, je me ballade toujours avec de grosse liasse de billet sur moi…c’est beaucoup plus sûr. <br /> Et pour la frime, il y a pas mieux!
bmustang
entièrement d’accord avec toi
bmustang
apple réinvente le paiement sans contact ? Attention ! c’est breveté
crush56
La mauvaise foi dans les commentaires …<br /> Je me ballade très rarement avec mon portefeuille dans mes poches, c’est volumineux et assez désagréable.<br /> Par contre j’ai toujours mon téléphone, ce qui fait qu’aujourd’hui je paye 95% du temps avec mon Iphone. Et en m’évitant de manipuler ma cb, ça m’évite de la perdre par exemple.<br /> Mais bon quand c’est Apple faut pas hésiter à y aller de son commentaire hein
malak
Perso, je rencontre de plus en plus de terminaux avec lesquels le sans contact ne fonctionnent pas ou mal… donc se passer de CB, c’est pas pour demain…<br /> PS : t’as le droit d’avoir une CB seule sur toi, sans portefeuille, c’est encore moins encombrant qu’un smartphone… ultra-léger, bref, sans prise de tête.<br /> Vive la CB
crush56
C’est ce que je faisais avant, et je te dis pas le nombre de cb que j’ai perdues.<br /> Entre celle qui glisse dans la poche quand t’es assis dans la voiture, celle qui tombe sans que tu t’en rendes compte quand tu prend quelque chose d’autre dans la poche, bref une hécatombe pour moi.<br /> Depuis que j’ai apple pay j’ai plus aucun soucis
jcc137
Je fais toujours mes courses avec mon épais porte-monnaie-cartes ET mon gros smartphone, je mets tout dans mes poches. Jusqu’à présent, les gens qui me regardent ont compris que je n’étais pas atteint d’infirmité mais que je place dans mes poches ces objets-là, sans aucune moquerie jusqu’à présent.<br /> Sinon pour la classe… je m’en tape !
crush56
C’est pas vraiment une question de style mais de confort, surtout quand tu as un vêtement assez collé, je trouve ça désagréable personnellement.
hzdl
J’étais également sans porte monnaie car payant exclusivement avec Google Pay. Puis je me suis marié et on a maintenant une carte «&nbsp;commune&nbsp;» pour les dépenses donc retour en arrière en utilisant une technologie du XXe siècle.<br /> Ah oui ce qui est bien avec l’open banking c’est qu’on peut faire le contact less sans limite de paiement et c’est sécurisé par soit un pin sur le smartphone, soit lecteur d’emprunte ou selfie unlock.
Kriz4liD
Mauvaise foi ?<br /> Première vois que je vois quelqu’un de plaindre d’un portefeuille plus volumineux d un iPhone, tu met quoi dans ton portefeuille ? Une tarte au pomme ??<br /> Une carte de crédit, sa carte de nationalité, badge pour rentrer au taf et un petit peu de liquidité, ça suffit, je ne comprend pas comment ton portefeuille peut être volumineux rien qu’avec ça, tu portes bien tes papiers d identités non ? Comment tu fais pour la protéger ?
tfpsly
crush56:<br /> le nombre de cb que j’ai perdues.<br /> Entre celle qui glisse dans la poche quand t’es assis dans la voiture, celle qui tombe sans que tu t’en rendes compte quand tu prend quelque chose d’autre dans la poche, bref une hécatombe pour moi.<br /> C’est parce que l’on n’est pas censé mettre nos cartes directement dans la poche : il y a cette invention super pratique pour ne rien perdre :<br /> (et quand les cartes sont dans l’orientation de cette photo, impossible qu’une carte sorte quand le portefeuille est fermé)
yam103
Visa et Mastercard sont des sociétés étrangères, et sont généralement les intermédiaires entre les consommateurs et leurs bourses.
crush56
Mon portefeuille fait facilement 2 cm d’épaisseur.<br /> Et ça ne t’est jamais arrivé de laisser ton portefeuille dans la voiture quand tu fais tes courses ? Ou carrément l’oublier à la maison ?<br /> A moins de le laisser h24 dans ta poche mais je ne connais personne faire ça.<br /> Non vraiment avec mon tel, qui est mon seul et unique objet, qui ne m’encombre pas et qui est constamment sur moi, je suis capable de payer quelques soient les circonstances, je trouve ça top.<br /> Et je ne dis pas ça pour Apple, je fais le même constat avec tout autre téléphone capable de payer en sans-contact, c’est vraiment ultra pratique.<br /> Donc oui, dire que payer avec son téléphone c’est juste pour se la péter c’est de la mauvaise foi
jfk68
Allez une petite pub pour le produit qu’a développé ma boite… et made in France. <br /> https://www.meex-up.com/12-les-modeles
Palou
JP_Den:<br /> Moi, je me ballade toujours avec de grosse liasse de billet sur moi…c’est beaucoup plus sûr. <br /> Et pour la frime, il y a pas mieux!<br /> Euh … enlèves tes pinces à vélo
Kriz4liD
Quelque soit les circonstances ? Téléphone déchargé ? Plus de forfait ? En voyage dans un bled paumé ? Et si un agent de l ordre vous demande de sortir vos papiers d identité vous lui montrez votre profil Facebook ???<br /> C’est vraiment de la mauvaise foi, toutes les personnes dans mon entourage ont le portefeuille dans la poche ou dans le sac, mon portefeuille fait moins d un centimètre pour moins de 100g, avec mes cartes et quelques billets, il est vraiment bizarre ton portefeuille.<br /> Il m arrive d oublier mon smartphone, mais jamais le portefeuille, j ai mon permis, ma carte d identité, carte visa et mon badge de la société qui sont pour moi bien plus important.
pecore
Surtout quand tu allumes ton cigare avec. Va faire ça avec un iPhone.
pecore
Blague à part, j’adore Apple Pay qui est bien plus sécurisé qu’une carte de payement sans contact. Il faut soit le code à 6 chiffre, soit la reconnaissance faciale pour payer alors qu’avec une carte il suffit d’avoir le bout de plastoc et hop, peu importe qui l’utilise tant qu’on reste sous le plafond.<br /> Le mode transport express fait fi de cette sécurité et je trouve cela un peu bête. Ceux qui choisissent ainsi volontairement de se rendre vulnérable pour gagner quelques secondes n’ont qu’à assumer le risque qu’ils font courir à leur portemonnaie.
crush56
Téléphone complètement déchargé ça ne m’arrive jamais, fin c’est pas compliqué de gérer sa batterie quand il t’en reste pas beaucoup.<br /> Forfait et bled paumé osef, ça ne fonctionne pas avec le réseau, c’est totalement hors ligne.<br /> Pour les papiers d’identité c’est un autre sujet mais dans tous les cas téléphone ou pas je ne prends jamais mes papiers sur moi, je les laisse dans la voiture. De toute façon en 30 ans je ne me suis jamais fait contrôler mon identité en tant que piéton.
pecore
De toutes façons on va à grands pas vers un système d’identité numérique. Le passe sanitaire en est un bon exemple et un moyen de se projeter dans ce que ce sera à l’avenir.<br /> N’en déplaise à certains, le téléphone est le portefeuille du futur et même déjà du présent pour pas mal de choses. Ce n’est tout de même pas la faute d’Apple d’avoir été dans les premiers à le comprendre.
Kriz4liD
Bon il est vrai que pour vos usages, l iphone vous suffit, mais c’est juste que le portefeuille reste tres utilisé et le restera pour un bon bout de temps, du moins dans mon entourage.<br /> Apple pay reste l outil le plus performant pour payer avec son mobile, mais ce n est qu une partie des utilisateurs qui en font usage, on est très loin de l abondant de la carte d crédit.<br /> Ps: je m excuse, j ai été agressif dans mes propos.
benben99
Comme d’habitude, solution mal implémenté…<br /> Ils devraient regarder ce qui se passe en Chine. Tout le monde paye avec leurs téléphones mais utilisent en général des codes QR plutôt que le NFC. C’est bien plus sécuritaires et ca fonctionne avec n’importe quel téléphone.<br /> Choisir le NFC pour payer sans mot de passe est une bourde monumentale. Et qu’on trouve ensuite une taille faille de sécurité dans les produits de la pomme n’a rien de surprenant. On est habitué a leur produits au tarif premium qui sont bogués comme du bas de gamme!
ypapanoel
@hzdl<br /> Ah ben moi j’ai fait tout l’inverse : pour que chacun ait la carte «&nbsp;commune&nbsp;» tout en évitant d’en payer une 2è à la banque, j’ai dans mon iphone ma carte + la commune enregistrées : c’est donc ma femme garde la commune avec elle.<br /> Comme ça tout le monde est content !<br /> Et clairement le paiement applepay quand on y a gouté, difficile de revenir en arrière.
Infinity205
La visa gold est sur Apple Pay donc une pierre de coup car la carte s’affiche quand tu paye. Moi je Pay par Apple Pay mais j’ai pas de gold tristesse infini…
Infinity205
Utiliser Apple Pay, c’est l’adopter et se simplifier la vie. 2 clic et hop ,tu paye évidemment qu’il y as un risque de piratage de la carte mais le risque 0 n’existe pas mon bon monsieur
tfpsly
Infinity205:<br /> Utiliser Apple Pay, c’est l’adopter et se simplifier la vie. 2 clic et hop ,tu paye<br /> Bref comme Google Pay, ou comme n’importe quelle solution de paiement sans contact. Certaines banques proposent un autocollant avec puce NFC pour paiement sans contact, à mettre dans la coque d’un tel ou sur un truc toujours sous la main :<br /> une pierre de coup<br /> C’est «&nbsp;d’une pierre deux coups&nbsp;». Sinon ça ne veut rien dire <br />
Infinity205
Apple Pay c’est vraiment un autre monde que Samsung Pay et autre surtout que beaucoup plus de monde l’accepte.
Durango
Tout à fait d’accord, sauf que pour la frime, je n’ai pas les moyens ni l’envie de sortir une vingtaine de 500 pour aller en boite ! L’argent électronique peut être aussi sale et même plus que le vrai ! Et c’est la meileure voie pour que nous rampions un jour. Comme je ne confonds pas mes banquiers avec mes amis, je paie en liquide. l’histoire du jeudi noir et celle de 2008 montre que l’argent est plus en sécurité dans ma poche que dans une banque ! Et puis c’est insupportable de dépendre d’une machine ou d’une puce pour régler quoi que ce soit. Merciii !
Durango
Merci mais personnellement j’aimerai pas que mon portefeuille tombe en panne ou qu’il n’ai plus de batterie !!! Et puis même si je n’ai rien à me reprocher, je ne veux à aucun prix que mon banquier, ou Big Brother en personne sache tout ce que je fais et partout ou je vais. Je me sentirai en laisse ou m^me en cage. La laisse électronique est le surnom que j’ai donné à mon Nokia solide que j’avais oublié de laisser dans la boite à gants. Exemple : j’étais aux champignons, je me baisse et, grosse surprise, ça sonne ! C’était ma directrice qui insistait en s’agaçant pour que je rapplique à une réunion que j’avais esquivée ! J’ai dû rester une heure de plus dans le bois pour lui ramener quelques cèpes cuisinés. Merciii !
Muggsy68
Ou tu utilises au max pour moi.<br /> 1 carte mais utilisable pour plusieurs comptes.
Muggsy68
Troll.<br /> Ne possède aucun compte bancaire, aucun accès internet et aucun smartphone alors.
pecore
Le fait que tu n’en veuilles pas, toi et beaucoup d’autres certainement, ne signifie pas que cela n’arrivera pas.<br /> Alors oui, il y aura des réfractaires qui trainerons les pieds un peu plus longtemps que les autres mais finirons par s’aligner et une poignées d’irréductibles qui garderons leur portefeuille avec leur tétra-chiée de cartes jusqu’à leur mort.<br /> C’est pour des raisons similaires que l’on trouve encore des personnes pour payer au super marché leur trois salades et leur baguette de pain avec un chèque. Ça ne rime à rien, mais c’est comme ça.
Jissou06
Il faut quand même avouer que le paiement avec le téléphone c’est vraiment très pratique (c’est comment la clim, une fois qu’on s’y est habitué c’est difficile de revenir en arrière)<br /> Et c’est-à-dire vrai que quand on est un citadin, il arrive souvent des sortir avec simplement ses clef de maison et son tel (en laissant son portefeuille à la maison) pour aller faire une course (tabac,baguette,…) ou boire un coup avec un ami …<br /> Enfin ce sont mes usages à moi
Voir tous les messages sur le forum

Lectures liées

Google Pixel Stand 2 : vous n'en avez pas entendu parler mais pourtant il arrive bientôt
Huawei dévoile le Nova 9, son flagship à destination des
Onyx Boox lance trois nouvelles liseuses grand format (et une grosse mise à jour logicielle)
Pixel 6 vs iPhone 13, un combat sans vainqueur (sur le papier) ?
Samsung s'ennuie et nous parle des nouveaux coloris du Galaxy Z Flip 3 et Watch 4
OPPO développe ses propres puces, destinées à ses téléphones haut de gamme (et aux OnePlus ?)
Google Pixel 6 : 5 ans de mises à jour garanties ? Non, ce n'est pas si simple
Samsung Unpacked : comment suivre les nouvelles annonces ?
Des hackers chinois piratent iOS 15.0.2 en quelques secondes, mais Apple n'est pas leur seule victime
Android 12 est maintenant disponible sur les Pixel 3 et ultérieurs
Haut de page