A Une équipe de chercheurs au Royaume-Uni a découvert des problèmes de sécurité liés aux cartes Visa et à Apple Pay qui pourraient amener les attaquants à contourner l’écran de verrouillage et à effectuer des paiements frauduleux.
Selon la recherche, la faille se produit lorsque les cartes Visa sont configurées dans Apple’s Express Mode de transit sur un iPhone. La faille pourrait permettre aux attaquants de contourner l’écran de verrouillage de l’iPhone et d’effectuer des paiements sans contact sans le mot de passe.
Le mode Express Transit d’Apple permet aux utilisateurs de payer rapidement des trajets en transport à l’aide d’une carte de crédit, de débit ou de transport en commun sans déverrouiller leur appareil.
Les chercheurs affirment que la vulnérabilité n’affecte que les cartes Visa stockées dans Wallet. Il est causé par un code unique diffusé par les portes de transit ou les tourniquets de transit qui signalent à un iPhone de déverrouiller Apple Pay.
En utilisant un équipement radio commun, les chercheurs ont pu effectuer une attaque qui a fait croire à un iPhone qu’il se trouvait à une porte de transit. L’attaque de preuve de concept impliquait un iPhone avec Express Transit permettant d’effectuer un paiement frauduleux sur un lecteur de paiement intelligent. Une attaque similaire pourrait se produire dans la nature en diffusant le code unique et en modifiant un ensemble de variables.
Cependant, les chercheurs soulignent que l’attaque ne semble pas pratique à grande échelle. Même si un attaquant était en mesure de réussir, les banques et les institutions financières disposent d’autres mécanismes qui dissuadent la fraude en détectant les transactions suspectes.
La faille a été découverte par des chercheurs de l’Université de Birmingham et de l’Université de Surrey au Royaume-Uni. Les auteurs de l’article, qui devrait être publié lors du Symposium IEEE 2022 sur la sécurité et la confidentialité, sont Andreea-Ina Radu, Tom Chothia, Christopher JP Newton, Ioana Boureanu et Liqun Chen.
Les chercheurs ont alerté Apple du premier en octobre 2020 et Visa en mai 2021.
Dans une déclaration à ZDNet, Visa dit que ce type d’attaque n’est pas nouveau et que les clients ont peu à s’inquiéter.
“Des variantes de schémas de fraude sans contact ont été étudiées en laboratoire depuis plus d’une décennie et se sont avérées peu pratiques à exécuter à grande échelle dans le monde réel”, a écrit la société émettrice de cartes de crédit.”Visa prend toutes les menaces de sécurité très au sérieux, et nous travaillons sans relâche pour renforcer la sécurité des paiements dans l’ensemble de l’écosystème.”
