Le système de paiement Apple Pay a été détourné aux États-Unis. Les pirates ont réussi à obtenir des numéros de cartes bancaires via plusieurs chaines de magasins, puis se sont servies de cette fonctionnalité pour procéder à des achats, essentiellement dans les Apple Store. Le cœur du problème ne vient cependant pas d’Apple Pay, mais des banques elles-mêmes.
Une vérification parfois très laxiste des informations par les banques
Le Wall Street Journal a lâché hier soir un pavé dans la marre : le système Apple Pay a été détourné au profit de pirates qui s’étaient appropriés des cartes bancaires. Ces dernières, ou plutôt leurs informations, ont été volées depuis deux chaines américaines de magasins, Target et Home Depot. Il s’agit de l’une des conséquences de ces véritables braquages de données qui avaient eu lieu l’année dernière.
La technique retenue par les pirates a été de créer ensuite des comptes Apple Pay pour y intégrer les informations ainsi dérobées. C’est là qu’intervient une étape de vérification décisive. Apple ne permet en effet pas de créer un compte sans que les banques ne donnent leur accord aux futures transactions. À l’ajout d’une carte, la banque émettrice a deux solutions :
- Chemin « vert » : l’autorisation est immédiatement donnée
- Chemin « jaune » : une vérification est effectuée
Cette deuxième méthode est la plus courante, sauf si la carte correspond déjà à un compte iTunes fonctionnel. Dans tous les cas, la banque définit elle-même comment elle souhaite vérifier l’identité du client. Or, d’une enseigne à une autre, les mesures varient beaucoup et sont plus ou moins intensives.
De la connexion exigée au service en ligne au simple envoi de SMS
Parmi les informations demandées, on retrouve donc les nom, prénom, date de naissance, adresse postale et autres informations triviales. Si triviales en fait qu’elles sont le plus souvent très simples à trouver et que certaines banques ne vont pas au-delà, se contentant par exemple d’envoyer un simple SMS de vérification. Conséquence : des comptes Apple Pay ont été validés par les banques et les pirates ont pu procéder à des achats. Une méthode d’autant plus efficace qu’Apple Pay se sert d’un jeton émulant une carte bancaire, sans que l’utilisateur ait besoin physiquement de cette dernière.
80 % des achats frauduleux ont été effectués dans les Apple Store, sur des produits onéreux. Selon une source du Wall Street Journal, ce choix obéit à une logique implacable : les Store de la firme offrent l’assurance de pouvoir utiliser Apple Pay (évidemment) et les produits achetés ont une grande valeur à la revente. L’argent dérobé est ainsi converti en biens qui seront revendus par la suite via différents moyens.
Apple Pay n'a pas été piraté
Bien que la fraude passe par Apple Pay, le système de paiement de l’entreprise n’est pas en cause, quand bien même une partie de la presse s’échine déjà à expliquer que la fonctionnalité a été piratée. Il n’y a pas de faille de sécurité, ni de barrière contournée : Apple Pay est un cargo dont certaines marchandises peuvent être frelatées. Le problème réside dans la vérification des marchandises, en l’occurrence la légitimité du porteur de cartes.
Il faudra donc que les établissements bancaires renforcent de manière drastique ces procédures de vérification. Certains réclament par exemple à leurs clients qu’ils se connectent à leur espace en ligne pour valider directement au sein de ce dernier l’autorisation. Si un pirate peut récupérer les informations d’une carte, il lui sera plus complexe d’avoir en même temps les identifiants d’accès sur le service en ligne. Il est possible que les banques n’aient pas souhaité « assommer » les clients avec des procédures lourdes, mais il faudra bien que le monde se réveille : la sécurité et la facilité d’utilisation ne cohabitent que moyennement. L’absence de vérification efficace ne peut que concourir au faux sentiment de sécurité du client.
D’autant que tout le monde est perdant : les clients floués de leur argent perdent confiance, les banques doivent les rembourser puisqu’elles sont responsables, et Apple y perd en image. Richard Crone, PDG du cabinet de conseil sur les paiements Crone Consulting, résume ainsi au Wall Street Journal : « Apple Pay est formidable, mais est bâti sur des fondations branlantes ». Par ricochet, c’est le système de paiement, et donc la marque elle-même, qui seront pointés du doigt, au moins en partie.
