Le New York Times révèle dans un long article que la société LoopPay, que Samsung avait rachetée en début d’année pour sa technologie de paiement sans contact, a été piratée durant 5 mois sans s’en rendre compte par des hackers chinois. Selon Samsung, ce piratage est sans conséquence sur la sécurité des données de Samsung Pay. Des propos rassurants que met en doute le journal américain.
En février dernier, Samsung annonçait avoir racheté une société américaine appelée LoopPay pour un montant estimé à 250 millions de dollars. Cette dernière possède une technologie, Magnetic Secure Transmission (ou MST), qui intéresse beaucoup Samsung puisqu’elle permet de rendre les paiements sans contacts des smartphones (Samsung Pay, donc) compatibles avec la grande majorité des terminaux de paiement par carte bancaire. Bref, la technologie de LoopPay est cruciale et centrale pour le bon fonctionnement de Samsung Pay, qui a été lancé il y a quelques jours tout juste aux États-Unis.
Six mois pour se rendre compte de l’attaque
Aujourd’hui, le New York Times affirme que la société LoopPay a été victime d’un piratage et qu’elle a mis près de six mois à s’en rendre compte. Selon l’enquête menée par le journal américain, ce sont des hackers chinois, connus sous le nom de Codoso Group, qui ont mené l’attaque. Toujours selon le New York Times, les hackers auraient réussi à s’introduire uniquement dans le réseau interne de l’entreprise, celui qui contient les échanges par emails, et non le réseau de production qui gère les paiements.
L’attaque a ainsi débuté au début du mois de mars dernier, quelques semaines après le rachat de la société par Samsung, et a pris fin durant le mois d’août 2015. C’est une « organisation spécialisée dans la poursuite des hackers de Codoso Group » qui a prévenu la société alors qu’elle menait une enquête séparée.
Samsung assure que Samsung Pay n’est pas touché…
Samsung a tenu à rassurer immédiatement ses clients dans un billet de blog publié sur son site officiel. Selon le Coréen, « l’incident lié à LoopPay a été résolu et n’a rien à voir avec Samsung Pay ». Samsung insiste bien sur le fait que cette attaque ne concerne que trois serveurs internes à l’administration de LoopPay, que des sociétés de sécurités informatiques ont été immédiatement engagées et enfin d’assurer que « Samsung, Samsung Pay, et les utilisateurs de Samsung n’ont pas été touchés ».
Des propos que le New York Times met en doute. Le journal américain insiste sur le fait que le groupe de hacker Codoso Group n’est pas inconnu et qu’il est particulièrement connu pour lancer des attaques tenaces et, même une fois repérées, de conserver systématiquement des moyens de continuer à surveiller l’activité d’un réseau. Ainsi, des imprimantes ou des thermomètres connectés peuvent continuer à envoyer des informations en Chine.
… ce qu’il est prématuré d’affirmer aux yeux des experts
Et c’est bien cela qui inquiète les experts, explique le New York Times, puisque ces derniers jugent les propos de Samsung sur la sécurité des données de Samsung Pay un peu prématurés. Samsung a ainsi lancé Samsung Pay aux États-Unis 38 jours après la découverte de la faille de sécurité dans le réseau de LoopPay. Or, selon le Ponemon Institute, il faudrait en moyenne 46 jours pour s’assurer que les failles créées par les hackers sont bien comblées, voire plus dans le cas d’attaques plus élaborées.
Le problème, c’est qu’il est fort probable que ni Samsung, ni LoopPay ne savent actuellement quelles données ont réellement été touchées et si Codoso Group est toujours présent dans le réseau de la société. Une nouvelle qui arrive au mauvais moment alors que Google lance son propre système de paiement sans contact concurrent – Android Pay – et que celui d’Apple gagne du terrain.
Votre café et votre dose de tech vous attendent sur WhatsApp chaque matin avec Frandroid.
Personnellement je suis serein à payer depuis mon galaxy depuis que j'utilise Leo Privacy Guard (https://play.google.com/store/apps/details?id=com.leo.appmaster&hl=en). Les données personnels sont bien préservés avec le locker et la sécurisation wifi. Même en cas de perte on peut tout bloquer à distance.
Pratiquement tous les terminaux aux US sont NFC.
Apple Pay et Android Pay sont utilisables partout où les paiements sans contact sont acceptés aux US. Le truc est qu'il faut valider avec un PIN (pour Apple Pay) alors que si la chaine de magasin est partenaire il n'y a meme pas besoin.
Merci pour ces éclaircissement. Et au risque de faire une blague déjà faite, pour la fonction MST, ils ont prévu un pare feu condom?
https://www.frandroid.com/android/312867_android-pay-incompatible-smartphones-rootes
Google aussi ? Je n'ai pas vu cette info, as tu la source ?
Justement, Google a annoncé bloquer l'utilisation si le téléphone est rooté, ce qui est normal pour garantir la sécurité des données
C'est ironique?
La différence ici annoncé avec la techno Samsung Pay était justement que le service fonctionne aussi bien par NFC ( très peu de terminaux commerçant sont compatible ) mais peu aussi fonctionner via MST, qui ne nécessite pas de changer les équipements des commerçants contrairement à Apple Pay ou Google Pay qui ne fonctionne uniquement par NFC. Je ne rooté pas mont S6 afin de garder mon KNOX, uniquement pour ce service. S'il s'avère qu'il n'est pas sécurisé, je n'en voit pas/plus l'utilité, et autant se tourner vers Google Pay, qui lui ne seras pas bloqué (dite moi si je me trompe) sur les appareils rooté comme le fait Samsung pour Samsung Pay.
Le soucis je trouve de toutes ces solutions Apple Pay, Samsung Pay, Android Pay, c'est que pour le moment, le marché est trop fragmenté, et que l'objet de la technologie, le paiement, n'est que très peu répandu. Tant que les boutiques n'aurons pas de terminaux compatible, toutes solutions confondues, ces techno n'aurons qu'un intérêt limité
ApplePay c'est plus sûr, y'a pas photo c'est l'avantage d'un écosystème fermé.
j'ai toujours hésité à rooter ou non mon s6.. Maintenant je vais le rooter sans hésitation.
Rassurant.
LoopPay, pour Samsung c'est loupé !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
Gérer mes choix