S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

La vidéo virale du paiement sur iPhone verrouillé ? Une faille de 2021 quasi inexploitable

Avec un million de vues en moins de dix heures, et déjà des milliers de partages et d’extraits sur les réseaux sociaux, la dernière vidéo de la chaîne scientifique Veritasium (20,6 millions d’abonnés) est partie pour faire un véritable carton. Il faut dire que son titre est efficace : « Pouvez-vous voler 10 000 dollars à partir d’un iPhone verrouillé ? ».

Pour faire bonne mesure, Veritasium s’est adjoint les services d’une autre vedette de YouTube, le vidéaste tech Marques Brownlee (20,9 millions d’abonnés). C’est l’iPhone personnel de ce dernier qui sert de cobaye pour cette vidéo de 26 minutes pendant laquelle Veritasium illustre, puis explique, comment il est possible, dans un environnement très contrôlé, de forcer un paiement à partir d’un iPhone verrouillé.

L’opération est réalisée deux fois, avec des paiements de respectivement 5 et 10 000 dollars, qui sont effectivement validés avec le petit signal sonore caractéristique des transactions sans contact sur iPhone. Outre sa production haut de gamme, la vidéo est extrêmement didactique : elle explique en effet dans le détail comment le hack a pu être réalisé.

Et pour cause : Veritasium met en scène ici une faille de sécurité découverte en 2021 et largement documentée depuis. Portée au crédit de chercheurs des universités britanniques de Birmingham et du Surrey, elle exploite une vulnérabilité qui affecte Apple Pay quand une carte Visa est configurée en mode Express Transit, c’est-à-dire la validation automatique de la transaction pour passer les portiques d’un transport en commun, telle qu’elle est déployée par exemple, dans le métro londonien.


L’attaque, de type man in the middle, consiste à faire croire à l’iPhone de la victime que ce dernier communique avec un portique de contrôle, pour faire disparaître l’étape de la validation du paiement. Pour ce faire, il faut être équipé d’un iPhone avec une carte Visa en mode Express Transit et enregistrée dans le Wallet, d’un Proxmark utilisé comme émulateur de lecteur, d’un smartphone Android équipé d’une puce NFC. Il faut enfin que l’iPhone, qui peut effectivement rester verrouillé, soit au contact d’un terminal de paiement NFC, lui-même connecté à un ordinateur chargé de faire tourner le script qui génère le code nécessaire à la manœuvre.

Bref, des images impressionnantes et une vulnérabilité avérée, mais une mise en œuvre particulièrement complexe, qui rend le scénario d’une exploitation en conditions réelles assez peu plausible. « Il s’agit d’un problème avec le système Visa, mais Visa ne pense pas que ce type de fraude puisse avoir lieu dans le monde réel, étant donné les multiples couches de sécurité en place. Dans le cas peu probable où un paiement non autorisé aurait lieu, Visa a clairement indiqué que les porteurs de cartes seraient protégés », commentait à ce sujet Apple en 2021. Visa et Apple maintiennent ce même discours en 2026 en réponse à Veritasium.

Rappelons que les consommateurs victimes d’une fraude au paiement sans contact ont jusqu’à 13 mois après le débit des sommes pour demander à leur banque le remboursement de ces dernières, quel que soit le prestataire de carte bancaire impliqué.

Commentaires (22)

votre avatar
Rappelons que les consommateurs victimes d’une fraude au paiement sans contact ont jusqu’à 13 mois après le débit des sommes pour demander à leur banque le remboursement de ces dernières, quel que soit le prestataire de carte bancaire impliqué.
Comme avec les prélèvements SEPA donc merci pour l'info. Par contre comment ça se passe ? autant en SEPA le commerçant connaît l'identité et peut émettre un contentieux en cas d'abus, là c'est bien souvent anonyme...

Si je vais acheter pour 49€ à la supérette paye sans contact et que je me fais rembourser 12,5mois plus tard : je serais rembourser, quid du commerçant ?
votre avatar
Ben comme pour le SEPA. C'est pour sa pomme 😁
Même pour SEPA, l'argent fait demi-tour instantanément, et le commerçant doit justifier auprès de sa banque de la validité du paiement pour récupérer à nouveau ses fonds (et toi les reperdre).
Il n'y a jamais de communication marchand/payeur, uniquement marchand/banque.
Spoileur aussi : le marchand n'a pas plus l'identité du payeur en SEPA qu'en CB, surtout en cas de fraude.
votre avatar
SEPA contient un champs identifiant qui contient en général le numéro de la pièce comptable (ou la facture) du marchand (c'est le marchand qui émet le prélèvement SEPA).
Donc quand le marchant reçoit l'annulation du SEPA il reçoit également la ref comptable de son système d'information et donc les noms / adresses du (non-)payeur.

En CB : il va avoir le numéro de la transaction qui est sur le ticket CB, si la compta est bien faite retrouver le ticket de caisse / date / heure... mais sauf carte de fidélité ou demande de facture, pas l'identité du client... (ou alors j'ai raté un truc :D)
votre avatar

  1. tu déclare un contentieux a ta banque et remplis un formulaire ou tu détaille le dit contentieux

  2. la banque vérifie et procède (ou non) a un remboursement

  3. le vendeur a 1 mois pour formuler un contre-contentieux comme quoi t'a bien eu ce que t'a payé

  4. la banque vérifie et procède (ou non) a un re-déboursement

  5. répéter 2 à 4 jusqu’à ce que le litige soit terminé (ou qu'un des 2 mette plus d'1 mois à répondre)...

votre avatar
Ça ne se passe pas comme ça en SEPA : aucun formulaire, le virement est simplement annulé, sans autre question. D'ailleurs il n'y a pas besoin de prouver une fraude.
votre avatar
Tu dois un minimum démontrer que le paiement est frauduleux… Généralement les banques sont pas chiantes avec ça et te remboursent instantanément, mais il y a quand même une étude a minima avant de procéder au retour des fonds.
Tu ne peux pas magiquement annuler un virement comme ça, ça serait un poil trop facile sinon.

La banque du payeur s’en fout d’ailleurs totalement de savoir si le marchand saura ou non recontacter son client. Elle demande à la banque du marchand le retour des fonds, et c’est à eux de se démerder s’ils veulent courir ou non derrière le payeur.

Ensuite un dossier de contestation est ouvert, et le marchand a 8 jours pour justifier en quoi le paiement était en fait réellement licite. La banque du payeur étudie ce dossier, et tranche définitivement dans un sens ou dans un autre.

Si la banque tranche définitivement en faveur du payeur et que le marchand n’a pas de moyen de contact parce qu’il n’a pas lui-même demandé l’identité de celui-ci pour la conserver, c’est pour sa pomme. Et tu comprendras aisément qu’en cas de fraude, de toute façon l’identité communiqué est… fausse ou usurpée :D

J’en traite des comme ça tous les jours à $taff :)
votre avatar
Non c'est faux, c'est la banque qui doit prouver l'éventuelle négligence du client :
https://www.banque-france.fr/fr/foire-aux-questions-le-prelevement-sepa

Fraude (ou tu n'as pas renvoyé le mandat de prélèvement signé), tu as 13 mois :
Le prestataire de services de paiement (généralement votre banque) devra alors rembourser la somme débitée au plus tard à la fin du premier jour ouvrable suivant et remettre le compte dans l'état où il se serait trouvé si l'opération n'avait pas eu lieu. Si vous avez eu des agios ou des frais bancaires liés à cette opération, ils devront vous être remboursés. Si l’établissement refuse de vous rembourser, il doit justifier son refus et apporter la preuve que vous avez été particulièrement négligent dans la conservation de vos données bancaires.
Si tu as signé le mandat de prélèvement, le délais est simplement plus court : (8 semaines vs 13 mois)
Pour demander la révocation d’une opération de prélèvement, il vous suffit de prévenir votre banque (par courrier, au guichet ou directement sur votre espace de banque en ligne). Vous pouvez contester une opération de prélèvement pendant une période de huit semaines après le débit de votre compte. Au titre de la loi (article L133-25-1 du code monétaire et financier), vous bénéficiez alors d’un droit au remboursement inconditionnel dans un délai de dix jours ouvrables. Le compte sera remis dans l’état où il se serait trouvé si l’opération n’avait pas eu lieu.
En aucun cas le client ne doit justifier quoi que ce soit à sa banque.

Après les conseillers bancaires sont formés pour pousser des frais indus ou services inutiles (parfois à leur insus): assurance "fraude internet" inutile, assurance moyen de paiement, ou encore requalifier en "opposition" (payant) et oublier de parler de la révocation qui gratuit...
votre avatar
Non, tu fais une lecture erronée de la loi, qui est plus compliqué que tu ne le penses.

L’article L133-25-1 vient en complément du L133-25 qui dit que

I. – Le payeur a droit au remboursement par son prestataire de services de paiement d'une opération de paiement autorisée, ordonnée par le bénéficiaire ou par le payeur qui donne un ordre de paiement par l'intermédiaire du bénéficiaire, si l'autorisation donnée n'indiquait pas le montant exact de l'opération de paiement et si le montant de l'opération dépassait le montant auquel le payeur pouvait raisonnablement s'attendre en tenant compte du profil de ses dépenses passées, des conditions prévues par son contrat-cadre et des circonstances propres à l'opération.
A la demande du prestataire de services de paiement, le payeur fournit tous éléments relatifs au remboursement demandé.

La banque doit donc vérifier :

  • s’il y avait un mandat

  • de quel montant

  • si le paiement est supérieur à ce montant

  • si le montant dépassait l’usage normal du compte



À partir du moment où il remplit les conditions, oui la banque ne peut pas refuser le remboursement. Sinon, ben la banque peut accepter ou non.

En particulier le délai de 13 mois ne couvre que les paiement sans mandat, sinon c’est 8 semaines seulement

III. Le payeur présente sa demande de remboursement avant l'expiration d'une période de huit semaines à compter de la date à laquelle les fonds ont été débités. Dans un délai de dix jours ouvrables suivant la réception de la demande de remboursement, le prestataire de services de paiement soit rembourse le montant total de l'opération de paiement, soit justifie son refus de rembourser, en indiquant la possibilité de recourir à la procédure de médiation mentionnée à l'article L. 316-1.

La banque procédera donc à des contrôles a minima avant de révoquer le paiement.
Et le PSP peut toujours refuser le remboursement s’il a des motifs légitimes à le faire
votre avatar
Petite typo généralisée : le nom de la chaîne est « Veritasium ».
(Ce commentaire pourra être détruit après usage ;-) )
votre avatar
corrigé, merci !
votre avatar

  • parler d'une faille de 2021 sous entend qu'elle est corrigée, ce qui n'est pas le cas. C'est bien encore une faille en 2026.

  • Elle n'a rien d'inexploitable. Connecté à un ordinateur pour faire tourner un script? Un Raspberry pi fait la job. Et près de 100% des téléphones Android ont une puce NFC.

  • Pour demander un remboursement, déjà faut-il se rendre compte qu'on s'est fait fraudé, ce que la nature de la fraude ne rend pas du tout évident pour ceux qui ne regardent pas toujours en détail leurs relevés de cartes de crédit.



Tant mieux si un média sérieux comme Veritasium met le doigt là où ça fait mal pour faire bouger les choses. Aucune raison de balayer la chose du revers de la main.

Comme pour les applis frauduleuses, ce ne sont pas Apple ni Visa qui perdront leur argent mais les utilisateurs.
votre avatar
C'est bien pour ça qu'on en parle, mais en relativisant le caractère sensationnel de la découverte
votre avatar
Pour demander un remboursement, déjà faut-il se rendre compte qu'on s'est fait fraudé, ce que la nature de la fraude ne rend pas du tout évident pour ceux qui ne regardent pas toujours en détail leurs relevés de cartes de crédit.
Y'a pas de notif en cas de paiement par carte sur iOS ?
votre avatar
Veritasium ? Sérieux ?
votre avatar
C'est orienté grand public, avec tous les codes que ça implique, mais oui sur le fond ils sont plus sérieux que par ex. la majorité des reportages diffusé à la télévision en France.
votre avatar
C'est en effet aussi mauvais que les reportages TV, mais la barre est bien basse.
La chaîne se vautre régulièrement dans le sensationnalisme et la désinformation scientifique depuis au moins le rachat par Electrify Video Partners
votre avatar
La réponse de Visa sous-entend que si on est débité autant, c'est pas grave car le porteur de carte est protégé mais quid des transactions qui seront refusés (et les conséquences qui vont avec) après l'opération frauduleuse ?
votre avatar
Sans compter qu'avec une telle transaction on peut vite se retrouver interdit bancaire, avec tout ce que ça implique comme soucis administratifs derrière x_x
votre avatar
Bref, le cirque habituel de veritasium : du spectacle, du putaclic, sous un vernis de science. Sans moi.
votre avatar
En cas de fraude avec Apple Pay (ou autre service de paiement), ce n'est pas la banque qu'il faut contacter, mais Apple Pay
votre avatar
J'entend le fait de dédramatiser.

Cependant :

  • C'est une faille connu depuis 5 ans

  • Facile à combler

  • Et ça coûterait 0 de la corriger



Pour les explications : Facile à combler parce que MasterCard l'a fait. Déjà. Ensuite, une solution serait de demander à tous les terminaux de paiements de vérifier la signature. J'entend que certains pourraient pas le faire, mais déjà, on comble sur 80% des terminaux de paiements (à vue de nez). Rien que ça, ça cooûte 0€, et ça bloque bien le truc. Sinon, demander systématiquement le chiffrement de la communication. Ce qui serait un minimum, quand même…

Parce que sérieusement, les pass Navigo sont plus sécurisés que les cartes de paiement ?! Y'a un problème…
votre avatar
Effectivement, je ne comprends pas la ligne de conduite de Visa qui n' ajoute une signature cryptographique que si la transaction a le flag "high value". Ce n'est pas comme si ils allaient faire des économies avec cela.
Apple mérite aussi d'être pointé du doigt. L' exploit marche en faisant croire à l'iPhone que c'est une transaction de transport public qui peut être effectuée iPhone verrouillé. Samsung a aussi un tel système mais n'accepte que les transactions à valeur nulle, donc uniquement un décompte de tickets. Apple autorise qu'on enregistre une carte de paiement pour passer dans le métro ce que n'autorise pas Samsung. Visiblement, Apple trouve que toucher ses quelques centimes sur chaque transaction est plus important que le sécurité des utilisateurs. Lamentable pour une boîte qui fait déjà autant de profit...