Dernière minute
Dernière minute
En direct
A suivre

Paiement sans contact : Une faille permettrait de forcer des iPhone à payer

Apple et Visa ont été informés de la faille de sécurité. [© Nathan Dumlao on Unsplash]
Par CNEWS
Publié le - Mis à jour le

Réputé inviolable, Apple Pay comporterait une faille pour les possesseurs de cartes Visa enregistrées sur ce système de paiement sans contact.

Des chercheurs en cybersécurité de l’Université de Birmingham et de l’Université du Surrey ont démontré qu'il était possible de contourner le verrouillage de l'écran d'un iPhone et de déverrouiller l'option Apple Pay pour l'approcher d'un terminal de paiement. 

Vidéo à l'appui, les chercheurs ont montré qu'un pirate bien équipé pouvait voler 1.000 livres (environ 1.180 euros) sur un iPhone de manière relativement simple. Encore faut-il que certaines conditions soient remplies. Dans l'iPhone, Apple Pay, qui fonctionne comme un véritable coffre-fort, doit être jumelé avec une carte Visa configurée en mode dit «de transit».

Une faille encore existante

«Lorsqu’il effectue un paiement via une application pour smartphone, l’utilisateur doit généralement authentifier la transaction à l’aide de l’une des fonctions d’authentification biométrique intégrées à l’iPhone, comme un scan d’empreinte digitale ou Face ID, ou en saisissant un code PIN, ce qui réduit les risques d’attaques. Cependant, en mai 2019, Apple a introduit la fonctionnalité Express Transit/Travel qui permet d’utiliser Apple Pay sans déverrouiller le téléphone. La fonctionnalité a été introduite pour faciliter le paiement aux stations de barrière de billetterie de transport», explique Benoit Grunemwald, expert en cybersécurité chez ESET France.

Comme pour tout paiement sans contact, la victime doit se trouver proche du terminal de paiement. Les pirates mettent alors en place un système qui vise à tromper Apple Pay en faisant croire que l'authentification de la carte bancaire virtuelle a été acceptée. 

Sur le même sujetpiratageCybersécurité : 1.700 clients du Crédit agricole dupés par un faux site de leur banque

«Apple et Visa ont été informés de la faille de sécurité par les chercheurs et, bien que les deux sociétés aient reconnu la gravité de la vulnérabilité, elles n’ont pas encore trouvé d’accord sur celle qui doit déployer un correctif. Dans l’intervalle, il est conseillé aux utilisateurs de ne pas utiliser les cartes Visa en mode carte de transport lorsqu’ils utilisent Apple Pay», alerte Benoit Grunemwald.

CybersécuritéAppleiPhoneargent

À suivre aussi

«Smishing» : attention à cette arnaque de plus en plus répandue
«Sandworm» : tout savoir sur ce groupe de hackers russes qui menace le monde
JO 2024 : «Nous sommes conscients des risques de cyberattaques», assure l'un des prestataires sécurité informatique de l'aéroport Paris-Charles de Gaulle

Ailleurs sur le web

Dernières actualités