Des chercheurs en sécurité ont découvert une nouvelle faille chez Apple Pay pouvant laisser les utilisateurs d’iPhone à risque de se faire voler. Fait inquiétant, le vol est entièrement sans fil, de sorte que la victime peut se rendre compte du vol qu’elle a subi des heures ou des jours plus tard.
Apple Pay est considéré comme l’un des modes de paiement sans contact les plus sécurisés actuellement utilisés. Il est donc extrêmement inhabituel d’entendre parler d’une telle vulnérabilité.
Comment fonctionne le piratage Apple Pay
Le piratage Apple Pay fonctionne en faisant croire à l’iPhone de la victime qu’il se trouve à proximité d’une borne de tickets sans contact comme celles que l’on trouve sur les systèmes de métro de la plupart des grandes villes. À l’aide d’un petit appareil radio, l’iPhone est amené à activer la fonction « Express Transit » d’Apple Pay.
L’appareil radio est connecté à un autre téléphone mobile qui relaie ensuite le paiement à un terminal de carte. Le terminal de carte déclenche un paiement par débit, qui déduit de l’argent – jusqu’à plus de 1 000€ – de la carte de paiement de la victime dans Apple Pay.
Express Transit est conçu pour permettre aux voyageurs de franchir rapidement et facilement les bornes de paiement. Ils peuvent simplement placer leur téléphone sur le lecteur de carte pour effectuer un paiement automatisé – il n’est pas nécessaire de déverrouiller leur iPhone, d’entrer un code PIN ou de confirmer le montant payé. L’ensemble du processus est « silencieux », de sorte que la victime ne réalise pas ce qui s’est passé.
En théorie, un pirate informatique pourrait se tenir dans un endroit bondé et déclencher des centaines de paiements frauduleux chaque heure en utilisant cette technique.
Juste une théorie. Pour l’instant !
La bonne nouvelle est que ce hack ne semble pas encore avoir été utilisé par des criminels. La faille a été découverte par des chercheurs en sécurité qui tentent de trouver – et de résoudre – les problèmes avant qu’ils ne puissent être abusés.
L’échappatoire n’affecte également que les cartes Visa qui ont été configurées pour être utilisées avec Express Transit. Les utilisateurs de cartes MasterCard et American Express ne peuvent pas être « dupés » en utilisant ce hack.
Les chercheurs n’ont pas encore confirmé si ce piratage affecte également l’Apple Watch qui dispose également d’une fonction de paiement Express Transit.
Comment se protéger
Bien que le piratage Apple Pay n’ait pas encore été copié par des criminels, il est fort probable qu’ils essaieront quelque chose de similaire à l’avenir. Heureusement, il existe deux façons de vous protéger maintenant :
Modifiez vos paramètres de Express Transit en choisissant une carte autre que Visa.
Si vous ne l’utilisez pas, choisissez « Aucun » dans les paramètres de votre Express Travel Card (vous le trouverez dans les paramètres « Wallet & Apple Pay » sur votre iPhone.
La désactivation du Express Transit ne vous empêchera pas non plus d’utiliser votre iPhone pour payer vos déplacements – vous devrez simplement vous assurer d’utiliser FaceID ou TouchID pour activer votre portefeuille à l’approche de la borne de tickets.
Il peut également être utile d’appliquer ces modifications à votre Apple Watch, juste au cas où elles seraient également vulnérables au piratage.