Rechercher
Fermer ce champ de recherche.

Des pirates pourraient forcer des iPhones verrouillés à effectuer des paiements sans contact

Des cybercriminels pourraient effectuer des achats frauduleux en contournant l’écran de verrouillage Apple Pay d’un iPhone lorsque le portefeuille de l’appareil comporte une carte Visa configurée en mode dit « de transit ». Des chercheurs de l’Université de Birmingham et de l’Université du Surrey ont montré que les attaquants pouvaient également contourner la limite du sans contact pour effectuer des transactions illimitées à partir d’iPhones verrouillés.

L’article de recherche, intitulé Practical EMV Relay Protection, montre comment un attaquant pourrait abuser d’une combinaison de failles dans Apple Pay et Visa, expliquant que tout ce dont il aurait besoin pour mener une attaque est un iPhone volé et allumé. Les transactions illicites pourraient également être effectuées même si l’appareil se trouve dans les bagages de la victime.

Lorsqu’il effectue un paiement via une application pour smartphone, l’utilisateur doit généralement authentifier la transaction à l’aide de l’une des fonctions d’authentification biométrique intégrées à l’iPhone, comme un scan d’empreinte digitale ou Face ID, ou en saisissant un code PIN, ce qui réduit les risques d’attaques. Cependant, en mai 2019, Apple a introduit la fonctionnalité Express Transit/Travel qui permet d’utiliser Apple Pay sans déverrouiller le téléphone. La fonctionnalité a été introduite pour faciliter le paiement aux stations de barrière de billetterie de transport.

« Nous montrons que cette fonctionnalité peut être exploitée pour contourner l’écran de verrouillage d’Apple Pay, et payer illicitement depuis un iPhone verrouillé, à l’aide d’une carte Visa, vers n’importe quel lecteur EMV, pour n’importe quel montant, sans l’autorisation de l’utilisateur », explique l’article décrivant la méthode d’attaque. L’attaque est classée comme une attaque par rejeu et relais de type Man-in-the-Middle (MitM), type d’attaque dans laquelle l’attaquant intercepte une communication en assumant le rôle d’intermédiaire entre les deux victimes, tout en maintenant des liens indépendants avec chacun d’eux.

L’attaque nécessite que l’iPhone ait une carte Visa configurée pour le paiement avec le mode Express Travel activé, et que la victime soit à proximité de l’attaquant. Pour réaliser leur test, les chercheurs ont utilisé un Proxmark qui a servi d’émulateur de lecteur, et un téléphone Android compatible NFC qui a été utilisé comme émulateur de carte pour communiquer avec le terminal de paiement. « L’attaque fonctionne en rejouant d’abord les Magic Bytes à l’iPhone, de sorte qu’il croit que la transaction a lieu avec un lecteur EMV de transport. Ensuite, lors de la transmission des messages EMV, les qualificateurs de transaction du terminal (TTQ), envoyés par le terminal EMV, doivent être modifiés de manière à ce que les bits pour l’authentification des données hors ligne (ODA), les autorisations en ligne et le mode EMV soient activés », précisent les chercheurs.

Pour relayer les transactions qui dépassent la limite de paiement sans contact, les Card Transaction Qualifiers (CTQ) qui sont chargés de fixer les limites de transaction doivent être modifiés. « Cela permet de tromper le lecteur EMV en lui faisant croire que l’authentification de l’utilisateur sur l’appareil a été effectuée (par exemple, par empreinte digitale). La valeur CTQ apparaît dans deux messages envoyés par l’iPhone et doit être modifiée dans les deux occurrences », expliquent les chercheurs. Au cours de leur test, l’équipe a pu effectuer une transaction de 1 000 £ (environ 1 180 €). En utilisant deux téléphones Android équipés de la technologie NFC, l’équipe de recherche a également pu contourner le protocole de Visa utilisé pour stopper les attaques par relais pour les cartes de paiement.

Apple et Visa ont été informés de la faille de sécurité par les chercheurs et, bien que les deux sociétés aient reconnu la gravité de la vulnérabilité, elles n’ont pas encore trouvé d’accord sur celle qui doit déployer un correctif. Dans l’intervalle, il est conseillé aux utilisateurs de ne pas utiliser les cartes Visa en mode carte de transport lorsqu’ils utilisent Apple Pay.

Benoit Grunemwald

Crédit photo : DR
[cc] Breizh-info.com, 2021, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine

Cet article vous a plu, intrigué, ou révolté ?

PARTAGEZ L'ARTICLE POUR SOUTENIR BREIZH INFO

Les commentaires sont fermés.

ARTICLES EN LIEN OU SIMILAIRES

Informatique, Sociétal

Que retenir de la keynote Apple du 9 septembre 2024 ?

Découvrir l'article

Immigration, International

Royaume-Uni. Les demandeurs d’asile bangladais déboutés bientôt remigrés

Découvrir l'article

Sociétal, Technologies

Numérique. Entrée en vigueur du Digital Market Act : quels changements pour les utilisateurs depuis le 6 mars ?

Découvrir l'article

International, Justice, Sociétal, Technologies

AirTag. Quand le gadget lancé par Apple est détourné par des harceleurs

Découvrir l'article

Sociétal

Affaire Paypal. Jérôme Bourbon (Rivarol) : « Une victoire symbolique, un coup d’arrêt, au moins temporaire, aux décisions unilatérales et arbitraires des organismes bancaires » [Interview]

Découvrir l'article

Sociétal

L’hebdomadaire Rivarol gagne en justice contre PayPal contraint de rétablir son compte

Découvrir l'article

Immigration, Sociétal

Immigration. Leur visa expiré, 13 étudiants sénégalais en voyage d’études en France introuvables

Découvrir l'article

International

L’Inde rétablit les visas touristiques de longue durée

Découvrir l'article

International, Technologies

Smartphones, tablettes, PC : l’UE impose l’utilisation d’un chargeur universel à partir de 2024

Découvrir l'article

Politique

Éric Zemmour : réaction sur la réduction des visas pour Algérie, Maroc et Tunisie

Découvrir l'article

PARTICIPEZ AU COMBAT POUR LA RÉINFORMATION !

Faites un don et soutenez la diversité journalistique.

Nous utilisons des cookies pour vous garantir la meilleure expérience sur Breizh Info. Si vous continuez à utiliser le site, nous supposerons que vous êtes d'accord.

Clicky