Le New York Times révèle dans un long article que la société LoopPay, que Samsung avait rachetée en début d’année pour sa technologie de paiement sans contact, a été piratée durant 5 mois sans s’en rendre compte par des hackers chinois. Selon Samsung, ce piratage est sans conséquence sur la sécurité des données de Samsung Pay. Des propos rassurants que met en doute le journal américain.

home-reader

En février dernier, Samsung annonçait avoir racheté une société américaine appelée LoopPay pour un montant estimé à 250 millions de dollars. Cette dernière possède une technologie, Magnetic Secure Transmission (ou MST), qui intéresse beaucoup Samsung puisqu’elle permet de rendre les paiements sans contacts des smartphones (Samsung Pay, donc) compatibles avec la grande majorité des terminaux de paiement par carte bancaire. Bref, la technologie de LoopPay est cruciale et centrale pour le bon fonctionnement de Samsung Pay, qui a été lancé il y a quelques jours tout juste aux États-Unis.

Six mois pour se rendre compte de l’attaque

Aujourd’hui, le New York Times affirme que la société LoopPay a été victime d’un piratage et qu’elle a mis près de six mois à s’en rendre compte. Selon l’enquête menée par le journal américain, ce sont des hackers chinois, connus sous le nom de Codoso Group, qui ont mené l’attaque. Toujours selon le New York Times, les hackers auraient réussi à s’introduire uniquement dans le réseau interne de l’entreprise, celui qui contient les échanges par emails, et non le réseau de production qui gère les paiements.

L’attaque a ainsi débuté au début du mois de mars dernier, quelques semaines après le rachat de la société par Samsung, et a pris fin durant le mois d’août 2015. C’est une « organisation spécialisée dans la poursuite des hackers de Codoso Group » qui a prévenu la société alors qu’elle menait une enquête séparée.

Samsung assure que Samsung Pay n’est pas touché…

Samsung a tenu à rassurer immédiatement ses clients dans un billet de blog publié sur son site officiel. Selon le Coréen, « l’incident lié à LoopPay a été résolu et n’a rien à voir avec Samsung Pay ». Samsung insiste bien sur le fait que cette attaque ne concerne que trois serveurs internes à l’administration de LoopPay, que des sociétés de sécurités informatiques ont été immédiatement engagées et enfin d’assurer que « Samsung, Samsung Pay, et les utilisateurs de Samsung n’ont pas été touchés ».

samsung pay

Des propos que le New York Times met en doute. Le journal américain insiste sur le fait que le groupe de hacker Codoso Group n’est pas inconnu et qu’il est particulièrement connu pour lancer des attaques tenaces et, même une fois repérées, de conserver systématiquement des moyens de continuer à surveiller l’activité d’un réseau. Ainsi, des imprimantes ou des thermomètres connectés peuvent continuer à envoyer des informations en Chine.

… ce qu’il est prématuré d’affirmer aux yeux des experts

Et c’est bien cela qui inquiète les experts, explique le New York Times, puisque ces derniers jugent les propos de Samsung sur la sécurité des données de Samsung Pay un peu prématurés. Samsung a ainsi lancé Samsung Pay aux États-Unis 38 jours après la découverte de la faille de sécurité dans le réseau de LoopPay. Or, selon le Ponemon Institute, il faudrait en moyenne 46 jours pour s’assurer que les failles créées par les hackers sont bien comblées, voire plus dans le cas d’attaques plus élaborées.

Le problème, c’est qu’il est fort probable que ni Samsung, ni LoopPay ne savent actuellement quelles données ont réellement été touchées et si Codoso Group est toujours présent dans le réseau de la société. Une nouvelle qui arrive au mauvais moment alors que Google lance son propre système de paiement sans contact concurrent – Android Pay – et que celui d’Apple gagne du terrain.