Des chercheurs ont découvert une faille dans le fonctionnement de la fonction Express Transit d’Apple avec les cartes de paiement Visa qui pourrait permettre aux pirates de débiter de l’argent sur vos comptes Visa configurés dans Apple Pay même lorsque votre iPhone est verrouillé.
Selon le BBC, des chercheurs des départements d’informatique des universités de Birmingham et de Surrey ont pu effectuer un paiement Visa sans contact de 1 000 £ à partir de un iPhone verrouillé, sans aucune autorisation requise du propriétaire de l’appareil.
Le problème, qui semble se produire spécifiquement avec les cartes Visa, a à voir avec Apple Pay Express Transit, une fonctionnalité qu’Apple a dévoilée dans iOS 12 qui permet d’effectuer des paiements rapides sans contact depuis un iPhone ou un Apple Regardez sans déverrouiller votre appareil ni même afficher manuellement une carte de paiement spécifique.
Au lieu de cela, les utilisateurs désignent l’un de leurs modes de paiement à utiliser spécifiquement pour Express Transit dans leurs paramètres iPhone Wallet et Apple Pay. Lorsqu’un iPhone ou une Apple Watch est agité près d’un terminal de paiement de transport en commun, le tarif approprié est automatiquement déduit de cette carte de paiement sans avoir besoin d’autorisation.
C’est naturellement une fonctionnalité très utile pour les navetteurs occupés, et cela a été déployé dans des villes de Londres à New York, où les utilisateurs d’iPhone et d’Apple Watch peuvent simplement et rapidement toucher leurs appareils pour payer leurs tarifs, puis passer immédiatement à autre chose.
Bien qu’Express Transit ne nécessite pas d’autorisation pour les paiements, le système n’est également censé être utilisé que pour traiter des transactions plus petites-celles qui seraient typiques d’un titre de transport. Malheureusement, il semble qu’Apple s’appuie sur les processeurs de paiement pour fournir les mesures anti-fraude nécessaires, et il semble que Visa ne soit pas à la hauteur du défi.
« Un problème avec un système Visa »
Selon le rapport de la BBC, un porte-parole d’Apple a renvoyé le problème sur les épaules de Visa, affirmant qu’il s’agissait « d’un problème avec un système Visa,”et pas vraiment le problème d’Apple.
Bien que vous puissiez penser qu’Apple devrait assumer une part de responsabilité dans l’application des limites de paiement sur des fonctionnalités telles que Express Transit, il est également juste de dire que ce n’est pas vraiment son travail dans ce contexte, et dans En fait, ses accords avec Visa, Mastercard et d’autres peuvent même empêcher Apple d’être impliqué dans l’autorisation des transactions, puisque c’est exclusivement leur responsabilité.
Le rôle d’Apple est simplement de transmettre l’information au réseau de paiement et de le laisser s’en occuper.
Étant donné que ce problème est spécifique à Visa — les chercheurs testé le même scénario avec Mastercard mais « a constaté que la façon dont sa sécurité fonctionnait a empêché l’attaque », et d’autres sources ont indiqué que d’autres réseaux de paiement comme American Express ont mis en place des protections similaires.
Les chercheurs ont également noté qu’ils approché Apple et Visa il y a près d’un an avec ces préoccupations, et bien qu’ils aient eu des conversations « utiles », le problème n’est toujours pas résolu.
Lorsqu’il a été contacté par la BBC, Visa a minimisé le problème, affirmant que cette attaque était « peu pratique », car cela nécessite un équipement quelque peu spécialisé et un contact très étroit avec l’iPhone ou l’Apple Watch d’une victime potentielle.
Les cartes Visa connectées à Apple Pay Express Transit sont sécurisées et les titulaires de carte doivent continuer à les utiliser en toute confiance. Des variations de schémas de fraude sans contact ont été étudiées en laboratoire pendant plus d’une décennie et se sont avérées peu pratiques à exécuter à grande échelle dans le monde réel.
Visa
Un porte-parole d’Apple a essentiellement suggéré que c’est c’est vraiment à Visa de décider s’il s’agit ou non d’un problème, ajoutant que la politique de responsabilité zéro de l’entreprise protégerait de toute façon ses titulaires de carte contre de tels paiements non autorisés.
Nous prenons très au sérieux toute menace pour la sécurité des utilisateurs. sérieusement. C’est un problème avec un système Visa, mais Visa ne pense pas que ce type de fraude soit susceptible de se produire dans le monde réel étant donné les multiples couches de sécurité en place. Dans le cas peu probable où un paiement non autorisé se produirait, Visa a clairement indiqué que leurs titulaires de carte sont protégés par la politique de responsabilité zéro de Visa.
Apple
Comment ça marche
Le Une équipe de chercheurs a démontré l’attaque en prenant de l’argent sur leurs propres comptes, en utilisant un équipement spécifiquement modifié qui fait croire à l’iPhone qu’il parle à un système de paiement en transit.
Bien que le groupe ne soit naturellement pas entré dans les détails, il a dit qu’il suffisait d’un”petit équipement radio disponible dans le commerce”et d’un téléphone Android exécutant une application personnalisée.
Le smartphone Android relaie les informations de l’iPhone vers un autre terminal de paiement sans contact, qui peut être celui de n’importe quel magasin de détail, ou celui que les criminels contrôlent eux-mêmes.
Essentiellement, ce qui se passe ici, c’est que puisque l’iPhone croit qu’il parle à un terminal de paiement de transit légitime, il abandonne les informations d’identification Visa sans être déverrouillé. Ces informations sont capturées et « rejouées » dans un terminal de paiement légitime, qui peut être configuré pour facturer n’importe quel montant décidé par les attaquants.
Le téléphone et le terminal de paiement de l’attaquant utilisés pour autoriser la transaction n’ont pas non plus besoin d’être à proximité de l’iPhone de la victime, ce qui pourrait potentiellement rendre beaucoup plus difficile la recherche de la source de l’attaque.
Cela peut être sur un autre continent depuis l’iPhone tant qu’il y a une connexion Internet.
Dr Ioana Boureanu, Université de Surrey
Malgré l’insistance de Visa pour que le L’attaque est peu pratique, la chercheuse principale, la Dr Andreea Radu, affirme que les attaques complexes qui fonctionnent en laboratoire finissent par être utilisées par des criminels, surtout s’il y a un potentiel de gain important.
Il a une certaine complexité technique-mais je pense que les récompenses de l’attaque sont assez élevées. Dans quelques années, cela pourrait devenir un véritable problème.
Dr. Andreea Radu, Université de Birmingham
Comment se protéger
Pour être clair, les chercheurs n’ont démontré cette attaque que dans un environnement de laboratoire, et il n’y a aucune preuve qu’elle soit actuellement exploité par quiconque.
Ce n’est pas si différent des attaques par carte de crédit sans contact qui sont de notoriété publique depuis plus d’une décennie maintenant, à l’exception bien sûr du fait que l’un des arguments de vente d’Apple Pay c’est qu’il est censé être plus sécurisé.
En outre, une carte physique sans contact peut être placée dans un portefeuille protégé par RFID, mais ce n’est pas vraiment une option pour un iPhone ou une Apple Watch, qui sont également plus susceptibles d’être utilisés à l’air libre plutôt que cachés dans votre poche ou votre sac à main.
Heureusement, si vous craignez d’en être victime, il existe un moyen très simple de vous protéger : évitez simplement d’utiliser une carte Visa pour le transport express. Voici comment le vérifier :
Ouvrez l’application Paramètres sur votre iPhone.Faites défiler vers le bas et appuyez sur Portefeuille et Apple Pay.Sous Cartes de transport, appuyez sur Express Carte de transport. Une case à cocher apparaît à côté de la carte que vous utilisez actuellement pour le transport express. Appuyez pour sélectionner une autre carte ou appuyez sur Aucune pour désactiver complètement le transport express.
Si vous avez une Apple Watch, vous devrez également vérifier cela, car elle n’est pas liée au paramètre Express Transit sur votre iPhone :
Ouvrez l’application Watch sur votre iPhone.Faites défiler vers le bas et appuyez sur Portefeuille et Apple Pay. Sous Cartes de transport, appuyez sur Carte de transport express. Une case à cocher apparaît à côté de la carte que vous utilisez actuellement pour le transport express. Appuyez pour sélectionner une autre carte ou appuyez sur Aucune pour désactiver complètement le transport express.
Il n’est pas non plus nécessaire d’activer le transport express à moins que vous ne viviez dans une ville où il est disponible et que vous utilisiez régulièrement le système de transport en commun de cette ville. Dans ce cas, sélectionner”Aucun”est l’option la plus sécurisée.