Une équipe de chercheurs au Royaume-Uni a découvert un certain nombre de problèmes de sécurité liés aux cartes Visa et Apple Pay qui pourraient permettre aux attaquants de contourner l’écran de verrouillage et d’effectuer des paiements frauduleux.
Selon cette découverte récente, le bug se produit lorsque les cartes Visa sont configurées en mode Transit express sur un iPhone, permettant aux attaquants de contourner l’écran de verrouillage de l’iPhone et d’effectuer des paiements sans contact sans le mot de passe.
Le mode Express Transit d’Apple permet aux utilisateurs de payer rapidement un transport en commun compatible à l’aide d’une carte de crédit, de débit ou d’un document de voyage sans déverrouiller l’appareil.
Les chercheurs affirment que la vulnérabilité n’affecte que les cartes Visa stockées dans Wallet et est causée par un code unique transmis par les portes de transit ou les tourniquets signalant à un iPhone de déverrouiller Apple Pay. À l’aide d’équipements radio courants, les chercheurs ont pu mener une attaque qui a conduit l’iPhone à croire qu’il se trouvait près d’un tourniquet. L’attaque de preuve de concept a permis à un iPhone avec Express Transit d’effectuer un paiement non autorisé sur un lecteur intelligent permettant de recevoir des paiements sans contact. Une attaque similaire peut être effectuée en passant le code unique et en modifiant un ensemble de variables.
› Les iPhone 13 / 13 Pro, iPad 9 et iPad mini 6 sont officiellement en vente !
Cependant, les chercheurs soulignent que l’attaque n’est pas facile à mener à grande échelle. Même si un attaquant réussissait, les banques et les institutions financières disposent d’autres mécanismes qui découragent la fraude en détectant et en annulant les transactions suspectes.
Des chercheurs ont alerté Apple en octobre 2020 et Visa en mai 2021. Dans une déclaration récente, Visa a déclaré que ce type d’attaque n’était pas nouveau et que les clients n’avaient pas à s’inquiéter.
« Divers schémas de fraude sans contact ont été étudiés en laboratoire depuis plus d’une décennie et se sont avérés peu pratiques à réaliser à grande échelle dans le monde réel. Visa prend toutes les menaces de sécurité très au sérieux et nous travaillons sans relâche pour renforcer la sécurité des paiements dans l’ensemble de l’écosystème. »
Bref, pour le moment, il n’y a pas grand-chose à craindre.
