Des pirates se sont introduits dans les serveurs de LoopPay, société rachetée par Samsung pour concurrencer Apple et les autres dans le domaine des solutions de paiement. La firme coréenne affirme qu’il s’agit d’un incident isolé, mais tous les doutes ne sont pas levés.

En février dernier, Samsung rachetait la société américaine LoopPay pour plus de 250 millions de dollars. L’idée était de concurrencer au plus rapidement Apple Pay qui venait d’être lancée aux États-Unis, et ce d’autant plus que la solution de Cupertino semblait doucement faire consensus. Pour autant, rien n’était gagné, car d’autres technologies existaient déjà, Apple ne débarquant clairement pas sur un terrain vierge.

Samsung a donc pris le temps de reprendre la technologie de LoopPay, d’autant que son fonctionnement était assez différent. Le produit qui en a résulté, intitulé fort simplement Samsung Pay, présente au final l’avantage d’être compatible avec les bornes munies de lecteurs de bandes magnétiques. Cette fameuse bande noire est encore très courante aux États-Unis notamment, et la technologie de LoopPay, baptisée Magnetic Secure Transmission (MST), la prend en charge.

Une attaque en mars, une détection en août

Mais la société américaine a été piratée en mars par un groupe chinois. Cette intrusion n’a malheureusement été détectée que cinq longs mois plus tard. En août, quand la brèche a été identifiée, deux équipes indépendantes d’experts en sécurité ont été embauchées pour faire le point sur la situation. Le groupe de pirates a été nommé selon les cas Codoso ou SunShock, mais c’est le premier qui fait actuellement consensus. Dans tous les cas, ce que les pirates cherchaient était bien des informations sur la technologie MST.

L’idée du groupe chinois était évidemment d’obtenir autant d’informations que possible pour mettre en évidence d’éventuelles failles de sécurité. On imagine sans peine que de telles brèches provoqueraient rapidement d’énormes scandales dont l’impact en termes d’image pour Samsung serait conséquent, mais qui écornerait en plus la confiance dans ce type même de moyen de paiement.

Seul le réseau d'entreprise aurait été attaqué

Pour autant, les pirates n’auraient pu faire qu’un tour limité au sein des serveurs de LoopPay. Ils ont ainsi pu s’introduire dans le réseau de l’entreprise, mais pas dans le système de production, comme l’a indiqué Will Graylin, directeur général de LoopPay, au New York Times.  Or, c’est bien ce système qui contient les informations cruciales recherchées. S’y trouvent en effet les serveurs chargés de s’occuper des demandes quand un paiement est réalisé via la solution maison. Les services de Samsung n’ont pas été infiltrés, limitant normalement la casse.

Mais ces informations arrivent très peu de temps après le lancement officiel de Samsung Pay aux États-Unis. Un mauvais calendrier pour le constructeur coréen, qui doit évidemment préciser un certain nombre de points. D’une part, la technologie MST de LoopPay ne représente qu’une partie de Samsung Pay. Dès que l’on se passe de bande magnétique, c’est une autre technologie qui est utilisée, proche dans l’absolu d’Apple Pay et Android Pay (Google). D’autre part, les machines infectées ont été retirées.

Les données « n’ont été à aucun moment en danger »

Samsung et LoopPay assurent toutes deux que les informations des clients sont en sécurité. Darlene Cedres, responsable de la sécurité chez Samsung, a ainsi indiqué : « Samsung Pay n’a pas été touchée et les informations personnelles de paiement n’ont été à aucun moment en danger. Il s’agissait d’un incident isolé qui a visé le réseau d’entreprise de LoopPay, qui est physiquement séparé. Le problème a été résolu immédiatement et n’a aucun lien avec Samsung Pay ».

Seulement voilà, tout le monde n’est pas nécessairement d’accord avec cette vision rassurante de l’évènement. Plusieurs experts en sécurité indiquent ainsi que Codoso a pu profiter d’un accès de cinq mois dans l’un des réseaux de l’entreprise, et qu’il est donc encore un peu tôt pour affirmer que rien d’important n’a été dérobé. De plus, Codoso serait connu pour ne pas partir sans laisser en place de quoi revenir, des traces a priori très difficiles à trouver. Une technique connue car Codoso est un groupe ayant déjà plusieurs centaines de victimes à son actif, presque toujours des entreprises (ils avaient par exemple piraté Forbes en février dernier).

Un optimisme pas toujours partagé

Enfin, l’enquête elle-même comporte des éléments étranges. Deux entreprises ont bien été engagées pour inspecter les dégâts, mais elles ont chacune analysé des parties différentes du réseau. L’une des deux, Sotoria, s’est vu confier une sauvegarde des données de LoopPay, mais il lui a été demandé de quitter les lieux après trois jours. Selon LoopPay, c’est uniquement parce que Sotoria avait fini l’analyse de sa propre partie. Le travail en commun a quand même continué après coup.

Les experts interrogés par le New York Times ne sont pas non plus d’accord sur le faible danger que représente l’attaque en elle-même. Le principal risque est bien sûr que les informations dérobées (il y en a nécessairement) puissent conduire les pirates vers deux voies possibles : l’exploitation de failles et/ou la conception d’une copie.

Pour LoopPay, seul le second cas est du domaine du possible, mais même si cela se produisait, de simples procès pour violation de copyright suffiraient. Pas certain en fait que les avocats de Samsung partagent cet enthousiasme, mais la firme se demande pourquoi les banques, maillon essentiel de la chaine du paiement, iraient établir des partenariats avec ce qui serait manifestement une copie. Un argument qui a effectivement plus de poids.

Dans tous les cas, ces informations arrivent à un très mauvais moment pour Samsung. Les solutions de paiement exigent une sécurité et une confiance absolues pour être adoptées. Dans ce type de contexte, le fait même d’apporter la preuve d’une absence de dégâts n’est pas toujours suffisant pour endiguer la perte de confiance du consommateur. Surtout quand l’attaque a été menée par un groupe qui est connu pour laisser en place des portes dérobées.