La sécurité des portefeuilles mobiles est en train de devenir un véritable maquis. En octobre dernier, des chercheurs des universités britanniques de Birmingham et Surrey ont révélé qu’Apple Pay permettait d’effectuer des paiements non authentifiés et sans aucun plafond avec une carte virtuelle Visa, à condition que celle-ci soit configurée en mode « Carte de transport express ». Cette fonction, en effet, est une exception au modèle de sécurité des portefeuilles mobiles où l’authentification de l’utilisateur est la règle. Elle est destinée à faire des paiements rapides dans un réseau de transport urbain sans authentification.
Dans cette étude, les chercheurs estimaient que ce type d’attaque n’était possible qu’avec la combinaison Apple Pay et Visa. À l’occasion de la conférence Black Hat Europe 2021, le chercheur en sécurité Timur Yunusov de Positive Technologies a montré que la situation était en réalité beaucoup plus complexe que cela. Il s’est penché non seulement sur Apple Pay, mais aussi Samsung Pay et Google Pay. Et il a essayé de les combiner avec les principales cartes du marché, à savoir Visa, Mastercard et Amex. Résultat : à chaque fois, il a trouvé un moyen de faire un paiement non authentifié et sans plafond !
Une analyse méthodique…
Pour y arriver, le chercheur s’est appuyé sur une interception des flux de type « Man in the Middle » et sur différentes faiblesses d’implémentation, généralement des champs de données et des cryptogrammes qui sont mal validés dans le déroulé protocolaire. Dans le cas du porte-monnaie Google Pay avec carte Visa, c’était immédiat. Cette faille, qui fonctionne avec tous les terminaux de paiement, a été découverte fin 2019 et elle n’est toujours pas corrigée. Pour toutes les autres combinaisons, en revanche, il faut disposer d’un terminal de paiement « modifié », autrement dit piraté. C’est en effet le seul moyen de pouvoir modifier certaines données des messages échangés.
La nécessité de disposer d’un terminal de paiement piraté réduit évidemment le risque de fraude, mais il ne l’élimine pas. Selon Timus Yunusov, l’usage de terminaux de paiement piratés — et donc de faux comptes de commerçant — serait courant dans les gangs de pirates, notamment en Amérique latine. Cette technique est utilisée depuis des années pour siphonner l’argent sur des cartes bancaires volées. Elle nécessite évidemment un certain niveau d’organisation et n’est donc pas à la portée du premier hacker venu.
… mais peu de réactions
Timur Yunusov a communiqué les résultats de ses recherches à toutes les parties prenantes. Mais les réponses qu’il a obtenues sont assez décevantes. Du côté d’Apple, de Google et de Samsung, on s’en lave souvent les mains. Les éditeurs soutiennent que le comportement de leurs « wallets » est conforme à ce qui est voulu. Autrement dit, s’il y a un problème, c’est aux réseaux de cartes de le résoudre. Mais ces derniers se montrent très peu loquaces sur le sujet. Ce qui ne veut pas dire qu’ils n’agissent pas discrètement. L’une des failles mentionnées dans le rapport du chercheur a été discrètement patchée par Mastercard après en avoir été informée de manière indirecte.
Source : PaymentVillage.org