Dégrafer un compte bancaire via Apple Pay semble relever de la science-fiction, et pourtant, une vulnérabilité persistante permet cela depuis plus de quatre ans. Découverte par les spécialistes Ioana Boureanu et Tom Chothia, elle a été mise en lumière en 2021 et n'a toujours pas été corrigée. En janvier dernier, elle a été mise à profit pour dérober 10.000 dollars à Marques Brownlee dans le cadre d'une démonstration publique par la chaîne Veritasium.
La chaîne a convié le célèbre youtubeur tech pour illustrer ce phénomène. La vidéo, récemment publiée, montre Brownlee en train de poser son iPhone sur un appareil connecté à un Macbook. Un smartphone Android placé près d'un terminal de paiement effectue une transaction de cinq dollars, traitée avec l'approbation d'Apple Pay, alors que l'iPhone de Brownlee demeure verrouillé, sans aucune interaction.
Poursuivant cette expérience, le présentateur révèle qu'il peut siphonner 10.000 dollars du compte de l'influenceur. "La limite est fixée par le montant disponible sur le compte de la victime," explique Chothia, soulignant la vulnérabilité de cette technique.
Communication interceptée
Pour comprendre cette escroquerie, il est essentiel d'aborder le fonctionnement des paiements sans contact. Lorsqu'un iPhone est présenté à un terminal, les deux appareils échangent des informations par un champ magnétique partagé, informations pouvant être interceptées et modifiées.
Le boîtier NFC utilisé pour l'attaque, désigné Proxmark, est perçu par l’iPhone comme un terminal de paiement classique, transmettant les données au Macbook de Veritasium. Ainsi, les instructions du script Python modifient les informations échangées et un smartphone Android est utilisé pour le paiement final.
Mentir pour contourner les couches de sécurité
Ce processus d’arnaque, bien plus complexe qu'il n'y paraît, requiert un subtil contournement des mesures de sécurité d'Apple Pay et des terminaux de paiement. Pour cela, trois tromperies sont employées.
Les deux premières visent l’iPhone. Un mode appelé "Express" intégré à l'application Cartes d'Apple en 2019 permet de valider des transactions sans déverrouiller l'appareil. En simulant un terminal de transport, le boîtier Proxmark fait croire à l’iPhone qu'il s'articule autour d'un achat de titre de transport.
Se rendant dans le métro londonien, Boureanu et Chothia ont analysé le signal permettant cette tromperie. Ensuite, la chaîne doit également ajuster le montant de la transaction, qui ne devrait pas dépasser un seuil acceptable pour éviter une demande d'authentification.
Le duo réussit à convaincre l’iPhone que 10.000 dollars représentent une somme faible, grâce à la manipulation d'un code binaire dans les données de transaction. Pendant que les appareils pensent communiquer directement, un script en Python altere ces données, trompant ainsi à la fois l’iPhone et le terminal de paiement.
Une faille limitée aux iPhone et cartes Visa
Bien que cette méthode soulève des préoccupations, il est important de noter qu'elle ne fonctionne qu'avec des appareils Apple et des cartes Visa. D'autres smartphones, comme les Samsung, utilisent des méthodes de validation différentes qui intègrent plus de filtres de sécurité.
Visa, de son côté, ne semble pas envisager de corriger cette faille, affirmant que de telles fraudes sont peu probables à grande échelle. D’après la société, le réseau de paiement intègre de multiples niveaux de sécurité pour contrer des transactions non autorisées, protégeant ainsi les utilisateurs grâce à sa politique de "Zéro Responsabilité".
Il est donc recommandé aux utilisateurs d'iPhone de choisir "Aucune" dans les options de cartes de paiement pour ce mode, afin d'éviter toute exploitation par des cybercriminels.
