Apple Pay ne serait plus aussi sécurisé, même avec un iPhone verrouillé
Disponible aux États-Unis depuis le printemps 2019, la fonctionnalité Express Transit, liée à Apple Pay, permet le tap-and-go sur l'iPhone, pour passer rapidement des portiques (dans les transports en commun par exemple) sans avoir à déverrouiller son téléphone. Cette fonction s'est depuis étendue à d'autres pays dont le Royaume-Uni et le Japon. Pratique, elle aurait pourtant comme contrepartie une sécurité amputée... du moins dans certains cas.
Des chercheurs britanniques des universités de Birmingham et Surrey ont ainsi démontré que d'importants versements non autorisés pouvaient être faits depuis Apple Pay lorsqu'il est utilisé avec des cartes Visa et la fonction Express Transit. En l'occurrence, ces versements sont possibles en exploitant une faille découverte dans le système de paiement sans contact proposé par les cartes Visa.
Une méthode fonctionnelle...
même pour de grosses sommes
Pour soulager la victime d'une importante somme d'argent, l'attaquant doit utiliser un petit accessoire radio, disponible dans le commerce, qui permet de mimer la borne d'un portique lorsqu'il est placé près d'un iPhone verrouillé. Il doit également s'équiper d'un smartphone Android doté d'une application développée pour relayer les signaux de l'iPhone à un terminal de paiement. Cette application modifie également les communications de manière à tromper le terminal. L'objectif est cette fois qu'il considère que l'iPhone cible a été déverrouillé, et qu'un paiement a été autorisé par l'utilisateur.
En utilisant cette méthode par leurs propres moyens, les chercheurs ont réussi à autoriser un paiement sans contact de 1000 livres (£), et ce depuis un iPhone verrouillé. Ils précisent que pour que le transfert fonctionne, le smartphone Android et le terminal de paiement n'ont pas besoin d'être utilisés à proximité immédiate de de l'iPhone cible, il suffit qu'ils soient connectés à internet.
Un problème avec Visa, se défend Apple
Contacté par la BBC, Apple a indiqué que le problème n'était pas de son ressort, mais de celui de Visa. « Il s'agit d'un souci avec le système Visa, mais Visa ne pense pas que ce type de fraude est susceptible de se produire dans le monde réel, étant donné les multiples couches de sécurité en place », a indiqué le groupe, précisant que dans l'éventualité d'un vol par cette méthode, les utilisateurs sont couverts par la politique de responsabilité zéro de Visa. Elle stipule que le titulaire de la carte n'est pas responsable pour d'éventuelles transactions non autorisées.
Du côté de Visa, on se veut rassurant : « Des variantes de systèmes de fraude sans contact ont été étudiées en laboratoire pendant plus de dix ans et se sont révélées peu pratiques à mettre en œuvre à grande échelle dans le monde réel ». Les chercheurs britanniques à l'origine de la découverte admettent que ce type d'attaque est effectivement élaboré, mais estiment que « la récompense de l'attaque est suffisamment élevée » pour motiver des voleurs.
Ils précisent néanmoins que l'opération n'est pas réplicable avec les cartes bancaires Mastercard. Pour les utilisateurs de cartes Visa, il suffit par ailleurs de désactiver la fonction Express Transit pour limiter grandement les risques. Une fonction qui n'est de toute façon pas encore employée à grande échelle, et qui n'est pas encore disponible pour les transports en France.