Apple Pay et la présence d’une brèche de sécurité chez Visa

Technique

Une faille d’Apple Pay permettrait, uniquement avec une carte Visa, d’effectuer des paiements sans contact non autorisés. Faut-il réellement s’inquiéter ?

Elle concerne le mode Express qui sert dans les transports en commun. Dans ce mode, l’authentification via Face ID, Touch ID ou un code n’est pas nécéssaire, ce qui permet de valider rapidement son trajet en approchant le téléphone.

Une faille impossible à exploiter

Que les détenteurs de cartes Visa se rassurent, la faille n’est pas exploitable malgré les démonstrations avec un terminal de paiement SumUp par exemple.

Il faut déjà avoir activé sa carte en mode « Transport Express » dans Wallet. C’est une étape que très peu de monde a réalisé, car elle nécessite une action manuelle dans les options d’Apple Pay.

Ensuite, il faut que l’émetteur de votre carte n’ait aucun filtre ODA. Si vous souhaitez en savoir plus sur ODA, on vous renvoie vers l’article concernant les transports car ODA est une norme exploitée dans ce secteur d’usage.

La démonstration de la « faille »

Concrètement, il faut capter la donnée d’un seul iPhone en « NFC ». Ensuite, il faut altérer les données, après lui avoir fait croire qu’il échange avec un portique type métro compatible « Transport Express ».

Les cartes bancaires classiques sont presque toutes compatibles « ODA », donc si vous scannez un environnement public, il sera impossible d’isoler « ODA » aux seuls iPhones.

Un peu d’imagination

Mais imaginons qu’il n’y ait que le fraudeur et la victime, et que cette victime n’ait sur elle que son iPhone et aucune carte de paiement « sans contact ».

Le fraudeur doit capter les données, simuler le fonctionnement « ODA », altérer les informations obtenues de l’iPhone, qui on le rappelle, sont dynamiques et nécessitent de connaître les 16 chiffres de la carte présentées par l’iPhone.

Une fois les données altérées, il faut renvoyer via un équipement Android par exemple les données pour la transaction. Tout cela sans que la victime ne s’éloigne, ou ne bouge, et avec la possibilité de rester plusieurs secondes en contact avec le terminal, le temps que les données altérées puissent simuler un paiement.

L’autorisation de paiement est accordée !

La majorité des exploits sur les cartes bancaires sont démontrées avec des émetteurs de cartes britanniques, et souvent des équipements comme les boitiers de paiement SumUp. Ce n’est pas sans raison, il est juste plus simple de passer outre des contrôles de sécurités qui seraient opérés sur d’autres terminaux.

Si l’émetteur ne refait pas de contrôles sur le flux d’autorisation, ou le réseau, alors oui il est possible d’obtenir une autorisation de paiement. Au même titre que si le logiciel d’un terminal est altéré, il est possible de faire du « offline » avec Apple Pay alors que cela est formellement interdit.

Toutefois, même si l’étape « autorisation » a une faiblesse, il reste un contrôle crucial qui sera l’étape de règlement. Et durant cette phase où le « commerçant » doit être réglé, la moindre irrégularité bloque le processus.

Conclusion

Aucun intérêt de faire plus long pour cet article. Le détournement en labo d’un paiement existe. On se rappelle du détournement du « sans contact » sur des cartes Visa permettant d’aller au-delà de la limite.

Il y a bien plus de chance de gagner des millions à un jeu de hasard comme le loto que d’exploiter cette faille. C’est toujours intéressant de voir les exploits en laboratoire. On ne peut qu’être admiratif devant les prouesses techniques de ces chercheurs en sécurité.

Toutes nos félicitations à ce groupe de chercheurs, et pour les porteurs, soyez rassurés, vous ne courrez aucun risque. Visa tout comme Mastercard surveillent continuellement les brèches possibles. Il faudra un jour qu’on finalise un article sur le fonctionnement des détections de fraudes avec la réalité derrière les annonces marketing de certaines sociétés.