Si la sécurité de la solution mise en place par Apple n’est pas nécessairement en cause, c’est le mode de déploiement par les banques et les commerçants qui pose problème et permet à des fraudeurs de réaliser des achats physiques avec des cartes volées.

Brian Krebs, l’un des experts les plus réputés en matière de sécurité, vient de publier un article dans lequel il explique comment Apple Pay a permis de bâtir un pont entre la fraude en ligne et la fraude réalisée dans des magasins physiques. Pour comprendre la différence, il faut d’abord savoir que le code pin que nous utilisons en France n’existe pas sur les cartes de crédit américaines. En conséquence, il existe deux méthodes pour payer.

Dans le cas d’achats physiques, c’est la piste magnétique située au dos de la carte qui est lue. Dans le cas d’achats sur Internet ce sont les informations telles que le numéro figurant en face avant ainsi que le nom du porteur, la date d’expiration et les trois chiffres figurant au dos qui sont utilisés. 

Etant donné que les informations sur la piste magnétique sont plus difficiles à collecter, elles sont vendues plus chers sur les plateformes underground, environ 30 $ par carte. Ces informations ne peuvent être obtenues qu’après avoir compromis un terminal de paiement ou un DAB. Une fois les informations collectées, les fraudeurs fabriquent de fausses cartes intégrant ces numéros et peuvent ensuite procéder à des achats physiques tant que le propriétaire de la vraie carte ne s’est pas rendu compte de l’usurpation. On parle alors de « Dump » Dans le cas des informations utilisées dans le commerce en ligne, elles sont vendues moins cher car massivement disponibles au travers de nombreux hacks affectant des commerçants en ligne. Rappelons que la fraude Target avait permis de récupérer plus de 80 millions de numéros de cartes bleues. Sur le marché gris, ces numéros sont vendus entre 1 et 5 dollars l’unité.

Un mix infernal

Ceci étant posé, où est la faille affectant Apple Pay ? Le principe de fonctionnement de la technologie est d’intégrer les informations de la carte dans le téléphone et ensuite de s’en servir chez les commerçants qui acceptent ce nouveau moyen de paiement (plus de 700000 à date selon les informations fournies par Tim Cook en début de semaine). Par rapport à cela, les banques n’ont pas mis en place de nouveaux moyens de contrôles de validité de la carte, exigeant notamment une photographie de la carte ou encore un justificatif d’adresse ou un lien avec un mobile pour valider les numéros. En conséquence, il suffit de disposer d’un iPhone 6, de numéros de cartes volées que l’on peut acheter entre 1 et 5 $, rappelons-le. Une fois testé et valide, ledit numéro est installé dans l’iPhone 6 et en avant la musique. Il devient possible d’aller acheter physiquement différentes marchandises avec ces informations.

Apple hacké, les banques lésées

L’ironie de l’histoire rapporte Brian Krebs est qu’Apple semble être une des principales victimes de la chose, les cyber voleurs se rendant dans les Apple Stores pour acheter tout un tas de matériels payés en Apple Pay avec des numéros volés. « Le fait que les banques assument ensuite les coûts de la fraude n’est que la cerise sur le gâteau », rapporte notre confrère.

Les banques vont donc être obligées de faire marche arrière et mettre en place des processus garantissant une meilleure sécurité des transactions. Elles vont être contraintes de le faire car si la technologie Apple Pay ne semble pas être en cause c’est la manière dont elle a été implémentée qui pose question.

Aujourd'hui, nous ne disposons pas d'informations sur les volumes de fraudes qui ont été accomplies. Toutefois, à mesure qu'Apple Pay est de plus en plus populaire, il semble inévitable que les banques vont devoir réagir si elles ne veulent pas être obligées de rembourser des millions de dollars à leurs clients.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI