Hier, des universitaires britanniques des universités de Birmingham et du Surrey ont présenté les résultats de leurs travaux : il est possible de tromper Apple Pay quand une carte Visa est configurée en mode Express Transit, en provoquant des paiements sans contact non désirés.
Ce mode Express Transit permet à Apple Pay de réaliser un paiement sans que l’iPhone ait besoin d’être réveillé, déverrouillé et que l’opération soit validée par une authentification quelconque. Pour déclencher l’achat, il faut que les portiques compatibles envoient à l’appareil d’un code unique nommé « magic bytes ».
L’opération frauduleuse consiste à se faire passer pour un de ces portiques, ce qu’ont fait justement les chercheurs. Il faut être équipé d’un iPhone avec une carte Visa en mode Express Transit et enregistrée dans le Wallet, d’un Proxmark utilisé comme émulateur de lecteur, d’un smartphone Android équipé d’une puce NFC et d’un terminal de paiement.
L’attaque a été démontrée dans une vidéo publiée par les chercheurs, puis refaite pour la BBC. Pour la chaîne anglaise, les chercheurs ont montré comment réaliser un vol de 1 000 livres sterling.
La faille, nommée par les chercheurs « Practical EMV Relay Protection », est complexe à reproduire en conditions réelles. Elle a néanmoins été confirmée par Apple et Visa, le premier estimant que le souci vient du second
« Il s’agit d’un problème avec le système Visa, mais Visa ne pense pas que ce type de fraude puisse avoir lieu dans le monde réel, étant donné les multiples couches de sécurité en place. Dans le cas peu probable où un paiement non autorisé aurait lieu, Visa a clairement indiqué que les porteurs de cartes seraient protégés par sa politique de responsabilité zéro », a expliqué Apple à la BBC.
Visa, de son côté, a répondu à ZDnet que ces schémas d’attaques étaient étudiés depuis longtemps en laboratoire « depuis plus d’une décennie ». La société les juge « impraticables » dans le monde réel.
Le Dr Andreea Radu reconnaît une « complexité technique », mais elle estime que le jeu en vaut la chandelle. En outre, « cela pourrait devenir un vrai problème d’ici quelques années ». Le Dr Tom Chothia recommande pour sa part de désactiver Express Transit si la fonction n’est pas utilisée.
Commentaires (15)
#1
Visa rembourse mais a une politique de responsabilité zéro ?! Je ne suis pas sûr de comprendre, car pour moi ils n’assument rien du tout justement
#2
J’ai failli comprendre comme toi mais c’est la responsabilité zéro du consommateur, pas de Visa.
https://www.scotiabank.com/content/dam/scotiabank/canada/fr/documents/particuliers/Politique_Responsabilite_Zero_Visa.pdf
#3
Mais du coup, VISA compte combler la faille ou non ?
Car c’est bien mignon de dire que c’est peu probable car pour l’instant, la fonctionnalité est nouvelle donc peu de gens l’on. Mais quand elle sera répandu, il y aura un autre son de cloche.
Car si tu me dis que je peux en toute tranquillité piquer 1000 livre a un possesseur d’iPhone en passant à côté de lui dans le métro sans même m’emmerder à faire un effort, juste a marché, clairement je le fais. x)
#3.1
J’ai toujours du mal avec la sécurité, mais je ne sais pas si VISA peut combler cette faille en conservant la simplicité d’utilisation.
Après si j’ai bien compris seuls quelques acteurs peuvent demander des paiements Express Transit (c’est un système pour les transports en commun). Il est possible que VISA refuse les transactions si le receveur n’est pas dans la liste.
Il faudrait vérifier auprès de la BBC si les 1 000 £ apparaitront bien sur le décompte final.
(Personnellement je trouve qu’il faut être fou pour activer un système qui permet de payer par carte de crédit sans validations)
#4
Ça leur est déjà arrivé de combler une faille de carte bancaire ?
#4.1
Pas besoin d’en arriver là, déjà qu’il y a les failles logicielles …
https://www.nextinpact.com/article/24678/102378-carte-bancaire-visa-informations-recuperables-par-force-brute-societe-nous-repond
#5
Faudra-t-il prouver qu’on s’est fait “scanner” vu que tout se fait via Express Transit ?
Ou ca sera une enquete de la banque qui se soldera par “on rembourse” ou “on ne rembourse pas” ?
#6
On a rien à prouver, si aucun PIN ou signature n’a été utilisé pour le paiement, c’est de la responsabilité de la banque … elle rembourse.
https://www.economie.gouv.fr/cedef/fraude-carte-bancaire
#7
Tout à fait, le paiement sans contact ou sur internet (hors secure pay) est TOUJOURS couvert par la banque, par contre il faut apporter la preuve de la fraude (par ex : un dépôt de plainte)
C’est valable également pour les prélèvements bancaires qui peuvent être annulé gratuitement jusqu’à 13mois après exécution. Attention annulé != opposé (qui lui est payant :) )
Les assurances moyen de paiement sont en général inutile.
#8
Non, il n’y a aucune preuve à apporter, aucune démarche à réaliser autre que la demande de remboursement, et le remboursement doit être immédiat. C’est ainsi que c’est écrit dans la loi, je sais que des banques demandent des démarches supplémentaires, dont celle que tu as mentionnée, mais elles sont hors la loi, et doublement pour avoir demandé une démarche supplémentaire et pour ne pas avoir remboursé immédiatement.
C’est à la banque de prouver qu’il n’y a pas eu fraude si elle ne veut pas rembourser, et immédiatement, pas après une enquête de 3 semaines, sinon elle doit rembourser le temps de faire l’enquête.
Seulement dans le cas d’un prélèvement frauduleux, c’est à dire un prélèvement dont la banque ne possède pas d’autorisation associée. Et là encore, pas de preuve à apporter, c’est à la banque de fournir la copie du mandat de prélèvement si le prélèvement était autorisé.
A noter qu’un prélèvement autorisé peut aussi être annulé pendant 8 semaines, mais là il y a des conditions, à vérifier, je ne les ai pas en tête, mais je crois qu’il y a une histoire de montant inhabituel et/ou périodicité inhabituelle.
#9
Tout prélèvement même dans le cadre d’un abonnement par exemple, peut être annulé sans motif : quand on autorise un tiers à effectuer un prélèvement on donne pouvoir à sa banque d’effectuer cette opération.
Cette autorisation faite à sa banque peut être révoquée à tout moment. Attention au terme utilisé : la révocation est définitive et gratuite contrairement à l’opposition.
Après ça à vous de vous démerder avec le tiers à qui vous devez, ou pas de l’argent, votre banque n’a pas à s’en préoccuper.
#10
On parlait d’annuler un prélèvement déjà effectué (l’argent est déjà parti), pas d’annuler un mandat pour les prélèvements à venir. Les opérations que tu cites ne sont pas rétroactives.
Et sinon, côté frais, c’est devenu plus flou avec la mise en place du prélèvement SEPA. Cependant, en pratique, on observe une réduction globale des tarifs de ce type d’opération (autant opposition que révocation), certainement aidée par l’intégration de ces opérations aux sites web des banques, allant jusqu’à la gratuité totale pour bon nombre d’entre-elles.
Donc normalement on a de bonne chances que sa propre banque propose au moins une des deux opérations gratuitement et accessible facilement depuis le site web.
#11
Et si on peux annuler un mandat tout en annulant les derniers prélèvements (argent déjà parti), les 2 derniers pour ma part, testé et approuvé avec ma banque.
#12
Oui, c’est justement de ça qu’on discutait avant, annuler les prélèvements passés de moins de 8 semaines. On peut le faire en plus de la révocation, comme tu as fait apparemment, ce sont 2 opérations différentes mais pas incompatibles.
Après j’ai dit que je n’avais pas en tête les conditions pour annuler les prélèvements passés, est-ce que la banque t’en a fait part, ou est-ce qu’elle a juste remboursé sans poser de question ?
#13
Cela s’est passé au téléphone et je t’avouerai que je ne connais pas les conditions exactes pour ma banque, j’ai pas demandé d’une part et la conseillère n’a pas non plus évoqué le sujet. J’ai juste dit que ces prélèvements étaient indus.
De mémoire pour l’avoir évoqué rapidement avec une autre conseillère, autre banque, ils peuvent remonter sur 2 mois, 8 semaines comme tu l’as dit plus haut. A priori aucune justification juste que le titulaire du compte réfute le transfert.