Une équipe de chercheurs britanniques est parvenue à réaliser des paiements frauduleux au moyen de la fonctionnalité « Transport express » de l’Apple Pay liée à une carte Visa et cela, sans déverrouiller l’iPhone.
Les deux sociétés concernées sont averties depuis plusieurs mois mais la vulnérabilité n’est toujours pas corrigée.
Pour payer en utilisant Apple Pay, il est nécessaire de fournir une confirmation, au moyen de fonctionnalités comme Face ID, Touch ID ou encore grâce à un code d’accès. Mais, il y a des exceptions. Dans les transports en commun, il est possible de passer outre la confirmation grâce à la fonctionnalité « Transport express ». Une facilité de paiement qui est exploitée par des hackers pour détourner de l’argent, rapporte Tech Xplore relayé par Clubic. Cela leur permet d’effectuer des paiements sans contact sans avoir à déverrouiller l’appareil.
C’est en étudiant la fonctionnalité « Transport express » que des chercheurs des universités de Birmingham et de Surrey au Royaume-Uni se sont aperçus qu’elle comportait une faille quand elle était utilisée avec une carte Visa. Les chercheurs ont pu réaliser un paiement de 1 000 livres (soit 1 178 €) en utilisant un iPhone pourtant verrouillé.
Le problème provient de l’utilisation d’une séquence unique baptisée « magic bytes » qui est envoyée par les portiques situés dans les transports en commun vers le téléphone afin de déverrouiller Apple Pay. Les chercheurs ont pu ainsi simuler l’envoi de cette séquence en utilisant leur propre matériel. Apple Pay n’y a rien vu d’anormal, expliquent nos confrères.Point important, cette faille ne fonctionne qu’avec Apple Pay combiné à une carte de paiement Visa. Les chercheurs ont tenté de faire la même chose avec une carte Mastercard, mais cela n’a pas fonctionné. Pas plus avec une Visa reliée avec un appareil sous Android. Toutefois, les paiements doivent être en dessous de la limite autorisée. Pour dépasser cette limite, il faut modifier un autre paramètre.Les chercheurs britanniques ont prévenu Apple de cette faille en octobre 2020 et Visa en mai 2021. Mais les deux sociétés ne savent pas à qui incombe la responsabilité de cette vulnérabilité. Il est conseillé de ne pas utiliser le mode « Transport express » avec une Visa. La méthode de piratage est complexe à mettre en place si un iPhone est dans une poche ou un sac, mais moins si le téléphone a été volé.
avec Ouest France
