Hier, des universitaires britanniques des universités de Birmingham et du Surrey ont présenté les résultats de leurs travaux : il est possible de tromper Apple Pay quand une carte Visa est configurée en mode Express Transit, en provoquant des paiements sans contact non désirés.
Ce mode Express Transit permet à Apple Pay de réaliser un paiement sans que l’iPhone ait besoin d’être réveillé, déverrouillé et que l’opération soit validée par une authentification quelconque. Pour déclencher l’achat, il faut que les portiques compatibles envoient à l’appareil d’un code unique nommé « magic bytes ».
L’opération frauduleuse consiste à se faire passer pour un de ces portiques, ce qu’ont fait justement les chercheurs. Il faut être équipé d’un iPhone avec une carte Visa en mode Express Transit et enregistrée dans le Wallet, d’un Proxmark utilisé comme émulateur de lecteur, d’un smartphone Android équipé d’une puce NFC et d’un terminal de paiement.
L’attaque a été démontrée dans une vidéo publiée par les chercheurs, puis refaite pour la BBC. Pour la chaîne anglaise, les chercheurs ont montré comment réaliser un vol de 1 000 livres sterling.
La faille, nommée par les chercheurs « Practical EMV Relay Protection », est complexe à reproduire en conditions réelles. Elle a néanmoins été confirmée par Apple et Visa, le premier estimant que le souci vient du second
« Il s’agit d’un problème avec le système Visa, mais Visa ne pense pas que ce type de fraude puisse avoir lieu dans le monde réel, étant donné les multiples couches de sécurité en place. Dans le cas peu probable où un paiement non autorisé aurait lieu, Visa a clairement indiqué que les porteurs de cartes seraient protégés par sa politique de responsabilité zéro », a expliqué Apple à la BBC.
Visa, de son côté, a répondu à ZDnet que ces schémas d’attaques étaient étudiés depuis longtemps en laboratoire « depuis plus d’une décennie ». La société les juge « impraticables » dans le monde réel.
Le Dr Andreea Radu reconnaît une « complexité technique », mais elle estime que le jeu en vaut la chandelle. En outre, « cela pourrait devenir un vrai problème d’ici quelques années ». Le Dr Tom Chothia recommande pour sa part de désactiver Express Transit si la fonction n’est pas utilisée.
