Des chercheurs ont découvert des vulnérabilités dans Apple Pay. Associée avec une carte Visa, la faille peut permettre à des pirates de contourner l'écran de verrouillage pour réaliser des règlements sans contact et sans plafond sur n'importe quel terminal de paiement.


au sommaire


    Hier, Futura relatait les déboires de ses AirTag en matièrematière de sécurité et l'inertieinertie dont fait montre AppleApple pour colmater ses brèches de sécurité. Aujourd'hui, c'est une nouvelle vulnérabilité qui touche l'Apple Pay en lien avec Visa qui a été révélée. Cette faille pourrait permettre à des pirates de passer outre le verrouillage d'un iPhone pour réaliser des paiements sans contact. La brèche a été découverte au Royaume-Uni par des chercheurs de l'Université de Birmingham et de l'Université de Surrey. Elle sera présentée lors du prochain Symposium IEEE 2022 sur la sécurité et la confidentialité.

    Le hic, c'est que grâce à cette vulnérabilité, il est même possible pour le pirate d'aller au-delà de la limite du paiement sans contact pour débiter les sommes. Pour pouvoir exploiter cette faille, il faut qu'un réglage particulier soit activé sur l'iPhone. Il s'agit du mode de transport express. Il permet de payer sans contact un trajet sur une borne d'accès à un métro par exemple, sans avoir besoin de déverrouiller le téléphone. Il faut également souligner que le problème n'affecte que les comptes Apple Pay associés à une carte Visa.

    Une faille qui ne sera peut-être jamais corrigée

    Les chercheurs ont pu constater que, lorsque l'on passe l'iPhone sur un capteurcapteur sans fil d'une entrée de métro, la borne diffuse alors un code unique au téléphone. En récupérant ce code, en l'intégrant à un simple terminal de paiement sans contact et en modifiant les protocoles de l'appareil, les scientifiques ont fait croire à l'iPhone qu'il s'agissait d'une borne d'accès à un tourniquet. Ces modifications ont enclenché le règlement de la somme affichée sur le lecteur de carte. Et justement, puisque ce code --que les chercheurs ont surnommé « code magique » -- ouvre grand la porteporte à n'importe quel terminal de paiement, il permet également d'autoriser des débits sans limitation de montant. De quoi piller un compte en banque en une seule fois et sans contact.

    Là encore, les chercheurs ont discuté de cette faille avec Apple et Visa, et les deux parties se sont renvoyées la balle pour la mise en place d'un correctif. Puisque celui-ci risque de mettre des mois avant d'arriver, s'il est déployé un jour, mieux vaut désactiver cette option de paiement avec Apple Pay lorsque l'on a associé son compte à une carte Visa.