Des recherches ont découvert une vulnérabilité dans le système de paiement d’Apple Pay et Visa. Après avoir découvert un bogue que les fraudeurs pourraient utiliser pour contourner les mesures de sécurité et effectuer des achats sans contact illimités, les chercheurs ont exhorté les utilisateurs d’iPhone à annuler Visa en tant que carte de transport en utilisant Apple Pay.
Des experts de l’Université de Birmingham et de l’Université de Surrey ont fait part de leurs inquiétudes quant au fait que la faille pourrait être utilisée pour effectuer des transactions à partir d’un iPhone dans les bagages de quelqu’un à son insu.
Il y a une faille de sécurité concernant le système de paiement d’Apple Pay et Visa
Le problème ne se produirait qu’avec Apple Pay lorsqu’une carte Visa est configurée en tant que carte de voyage express, également connue sous le nom de mode de transit express. L’équipe a utilisé un simple équipement radio pour faire croire à l’iPhone qu’il communiquait avec une porte de transit alors qu’il s’agissait en réalité d’un lecteur de paiement. Cela a été accompli en détectant un code unique envoyé par les portes de transit, qui a ensuite été utilisé pour interférer avec les signaux entre l’iPhone et un lecteur de carte de magasin.
Le Dr Tom Chothia de l’Université de Birmingham a déclaré : « Les propriétaires d’iPhone doivent vérifier s’ils disposent d’une carte Visa configurée pour les paiements en transit et, le cas échéant, la désactiver. Il n’est pas nécessaire que les utilisateurs d’Apple Pay soient en danger, mais jusqu’à ce qu’Apple ou Visa résolve ce problème, ils le sont.
Les tests du groupe ont révélé que les contrôles de détection de fraude en arrière-plan n’étaient pas en mesure d’empêcher les paiements de passer. Les chercheurs ont déclaré avoir parlé avec Apple et Visa de la vulnérabilité, affirmant que tous deux reconnaissaient l’importance du problème sous-jacent mais n’avaient pas encore trouvé d’accord sur qui devrait mettre en œuvre une solution.
“Des variantes de schémas de fraude sans contact ont été étudiées en laboratoire depuis plus d’une décennie et se sont avérées peu pratiques à exécuter à grande échelle dans le monde réel”, a déclaré une porte-parole de Visa. “Visa prend toutes les menaces de sécurité très au sérieux et nous travaillons sans relâche pour renforcer la sécurité des paiements dans l’ensemble de l’écosystème”, a-t-elle ajouté.
Ensuite, Apple a répondu : « Nous prenons très au sérieux toute menace pour la sécurité des utilisateurs. C’est un problème avec un système Visa, mais Visa ne pense pas que ce type de fraude soit susceptible de se produire dans le monde réel étant donné les multiples couches de sécurité en place. Dans le cas peu probable où un paiement non autorisé se produirait, Visa a clairement indiqué que leurs titulaires de carte sont protégés par la politique de responsabilité zéro de Visa.
Apple et Visa n’ont pas réussi à s’entendre
Le Dr Andreea Radu, responsable de l’étude, a déclaré : « Notre travail montre un exemple clair d’une fonctionnalité, destinée à faciliter progressivement la vie, se retournant et ayant un impact négatif sur la sécurité, avec des conséquences financières potentiellement graves pour les utilisateurs. »
“Nos discussions avec Apple et Visa ont révélé que lorsque deux parties de l’industrie ont chacune une responsabilité partielle, aucune n’est disposée à accepter la responsabilité et à mettre en œuvre un correctif, laissant les utilisateurs vulnérables indéfiniment”, a-t-il ajouté.
La faille de sécurité ne s’applique pas aux autres combinaisons, comme Mastercard dans les iPhones ou Visa sur Samsung Pay. Les résultats complets des chercheurs seront présentés au Symposium IEEE 2022 sur la sécurité et la confidentialité.