Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Apple Pay détourné pour une fraude à la carte bancaire

Êtes-vous John Smith ? Répondez oui ou non à ce SMS
Internet 4 min
Apple Pay détourné pour une fraude à la carte bancaire

Le système de paiement Apple Pay a été détourné aux États-Unis. Les pirates ont réussi à obtenir des numéros de cartes bancaires via plusieurs chaines de magasins, puis se sont servies de cette fonctionnalité pour procéder à des achats, essentiellement dans les Apple Store. Le cœur du problème ne vient cependant pas d’Apple Pay, mais des banques elles-mêmes.

Une vérification parfois très laxiste des informations par les banques

Le Wall Street Journal a lâché hier soir un pavé dans la marre : le système Apple Pay a été détourné au profit de pirates qui s’étaient appropriés des cartes bancaires. Ces dernières, ou plutôt leurs informations, ont été volées depuis deux chaines américaines de magasins, Target et Home Depot. Il s’agit de l’une des conséquences de ces véritables braquages de données qui avaient eu lieu l’année dernière.

La technique retenue par les pirates a été de créer ensuite des comptes Apple Pay pour y intégrer les informations ainsi dérobées. C’est là qu’intervient une étape de vérification décisive. Apple ne permet en effet pas de créer un compte sans que les banques ne donnent leur accord aux futures transactions. À l’ajout d’une carte, la banque émettrice a deux solutions :

  • Chemin « vert » : l’autorisation est immédiatement donnée
  • Chemin « jaune » : une vérification est effectuée

Cette deuxième méthode est la plus courante, sauf si la carte correspond déjà à un compte iTunes fonctionnel. Dans tous les cas, la banque définit elle-même comment elle souhaite vérifier l’identité du client. Or, d’une enseigne à une autre, les mesures varient beaucoup et sont plus ou moins intensives.

De la connexion exigée au service en ligne au simple envoi de SMS

Parmi les informations demandées, on retrouve donc les nom, prénom, date de naissance, adresse postale et autres informations triviales. Si triviales en fait qu’elles sont le plus souvent très simples à trouver et que certaines banques ne vont pas au-delà, se contentant par exemple d’envoyer un simple SMS de vérification. Conséquence : des comptes Apple Pay ont été validés par les banques et les pirates ont pu procéder à des achats. Une méthode d’autant plus efficace qu’Apple Pay se sert d’un jeton émulant une carte bancaire, sans que l’utilisateur ait besoin physiquement de cette dernière.

80 % des achats frauduleux ont été effectués dans les Apple Store, sur des produits onéreux. Selon une source du Wall Street Journal, ce choix obéit à une logique implacable : les Store de la firme offrent l’assurance de pouvoir utiliser Apple Pay (évidemment) et les produits achetés ont une grande valeur à la revente. L’argent dérobé est ainsi converti en biens qui seront revendus par la suite via différents moyens.

Apple Pay n'a pas été piraté

Bien que la fraude passe par Apple Pay, le système de paiement de l’entreprise n’est pas en cause, quand bien même une partie de la presse s’échine déjà à expliquer que la fonctionnalité a été piratée. Il n’y a pas de faille de sécurité, ni de barrière contournée : Apple Pay est un cargo dont certaines marchandises peuvent être frelatées. Le problème réside dans la vérification des marchandises, en l’occurrence la légitimité du porteur de cartes.

Il faudra donc que les établissements bancaires renforcent de manière drastique ces procédures de vérification. Certains réclament par exemple à leurs clients qu’ils se connectent à leur espace en ligne pour valider directement au sein de ce dernier l’autorisation. Si un pirate peut récupérer les informations d’une carte, il lui sera plus complexe d’avoir en même temps les identifiants d’accès sur le service en ligne. Il est possible que les banques n’aient pas souhaité « assommer » les clients avec des procédures lourdes, mais il faudra bien que le monde se réveille : la sécurité et la facilité d’utilisation ne cohabitent que moyennement. L’absence de vérification efficace ne peut que concourir au faux sentiment de sécurité du client.

D’autant que tout le monde est perdant : les clients floués de leur argent perdent confiance, les banques doivent les rembourser puisqu’elles sont responsables, et Apple y perd en image. Richard Crone, PDG du cabinet de conseil sur les paiements Crone Consulting, résume ainsi au Wall Street Journal : « Apple Pay est formidable, mais est bâti sur des fondations branlantes ». Par ricochet, c’est le système de paiement, et donc la marque elle-même, qui seront pointés du doigt, au moins en partie.

126 commentaires
Avatar de Tatsu-Kan INpactien
Avatar de Tatsu-KanTatsu-Kan- 07/03/15 à 08:06:16

Je trouve que sur ce coup, Apple tente de se dédouaner de ses responsabilités en accusant les banques...
 
Je pense que le soucis de sécurité se trouve plutôt du côté d'Apple Pay qui accepte les numéros de carte sans validation derrière...

Avatar de trash54 Abonné
Avatar de trash54trash54- 07/03/15 à 08:18:46

non non
Appel accept uniquement si la carte correspont a celle d'un compte iTune fonctionnel (donc deja valide)
Sinon demande de validation par la banque qui pour certainne demande le strict minimum

Avatar de Mathieu67 INpactien
Avatar de Mathieu67Mathieu67- 07/03/15 à 08:29:24

De tout de façon c'est de la faute à Apple, voilà et puis c’est tout, lol.

Avatar de Awax Abonné
Avatar de AwaxAwax- 07/03/15 à 08:31:35

"Le cœur du problème ne vient cependant pas d’Apple Pay, mais des banques elles-mêmes."

Euh, et donc le titre c'est juste du FUd et du click-bait?

Avatar de misterB Abonné
Avatar de misterBmisterB- 07/03/15 à 08:33:08

Tatsu-Kan a écrit :

Je trouve que sur ce coup, Apple tente de se dédouaner de ses responsabilités en accusant les banques...
 
Je pense que le soucis de sécurité se trouve plutôt du côté d'Apple Pay qui accepte les numéros de carte sans validation derrière...

Troll du matin, chagrin :D

Avatar de benjarobin Abonné
Avatar de benjarobinbenjarobin- 07/03/15 à 08:36:35

Je ne comprend pas le problème avec le SMS de vérification. Le pirate n'a pas la carte sim liée au compte bancaire

Avatar de Bejarid INpactien
Avatar de BejaridBejarid- 07/03/15 à 08:41:50

J'avoue, premier article, premier commentaire, boum le troll :D

Sinon, rien de nouveau dans le fait que les cartes de paiement soient bon vecteur d'arnaque aux US, ils ont l'habitude. Et on voit aussi là la limite du partenariat entre Apple et les Banques, elles ont fait ce qu'elles voulaient comme d'hab. Pas sûr qu'Apple puisse rectifier efficassement le tir.

ApplePay c'est juste une facade, avec les banques derrière. Si Apple arrive à les mettre au pas et à leur imposer des audits ça pourrait bien fonctionner, mais j'ai comme un doute...

Édité par Bejarid le 07/03/2015 à 08:44
Avatar de trash54 Abonné
Avatar de trash54trash54- 07/03/15 à 08:46:23

systeme pour certaines banques US donc le sms c'est genre "Mr/Md votre carte est valide et autoriser pour le service demande en cas de prob bla bla espace client"

 

Avatar de Firefly' Abonné
Avatar de Firefly'Firefly'- 07/03/15 à 08:47:10

non, la fraud est bien faite avec l'apple pay, et le payement aussi, donc c'est bien un détournement de l'apple pay pour faire une fraude à la carte bancaire. mais c'est pas lui le responsable, juste que il t'évite de creer une fausse carte bancaire.. ( mais c'est jamais ça qui as arrête les fraudeurs non plus..)

Avatar de M_Michu INpactien
Avatar de M_MichuM_Michu- 07/03/15 à 08:49:31

Tatsu-Kan a écrit :

Je trouve que sur ce coup, Apple tente de se dédouaner de ses responsabilités en accusant les banques...
 
Je pense que le soucis de sécurité se trouve plutôt du côté d'Apple Pay qui accepte les numéros de carte sans validation derrière...

Pfff Apple dans le titre, je troll sans réfléchir...T'as lu l'article jusqu'à la fin au moins ? 

Il n'est plus possible de commenter cette actualité.
Page 1 / 13
  • Introduction
  • Une vérification parfois très laxiste des informations par les banques
  • De la connexion exigée au service en ligne au simple envoi de SMS
  • Apple Pay n'a pas été piraté
S'abonner à partir de 3,75 €