#Le brief du 16 avril 2026

La vidéo virale du paiement sur iPhone verrouillé ? Une faille de 2021 quasi inexploitable

Avec un million de vues en moins de dix heures, et déjà des milliers de partages et d’extraits sur les réseaux sociaux, la dernière vidéo de la chaîne scientifique Veritasium (20,6 millions d’abonnés) est partie pour faire un véritable carton. Il faut dire que son titre est efficace : « Pouvez-vous voler 10 000 dollars à partir d’un iPhone verrouillé ? ».

Pour faire bonne mesure, Veritasium s’est adjoint les services d’une autre vedette de YouTube, le vidéaste tech Marques Brownlee (20,9 millions d’abonnés). C’est l’iPhone personnel de ce dernier qui sert de cobaye pour cette vidéo de 26 minutes pendant laquelle Veritasium illustre, puis explique, comment il est possible, dans un environnement très contrôlé, de forcer un paiement à partir d’un iPhone verrouillé.

L’opération est réalisée deux fois, avec des paiements de respectivement 5 et 10 000 dollars, qui sont effectivement validés avec le petit signal sonore caractéristique des transactions sans contact sur iPhone. Outre sa production haut de gamme, la vidéo est extrêmement didactique : elle explique en effet dans le détail comment le hack a pu être réalisé.

Et pour cause : Veritasium met en scène ici une faille de sécurité découverte en 2021 et largement documentée depuis. Portée au crédit de chercheurs des universités britanniques de Birmingham et du Surrey, elle exploite une vulnérabilité qui affecte Apple Pay quand une carte Visa est configurée en mode Express Transit, c’est-à-dire la validation automatique de la transaction pour passer les portiques d’un transport en commun, telle qu’elle est déployée par exemple, dans le métro londonien.


L’attaque, de type man in the middle, consiste à faire croire à l’iPhone de la victime que ce dernier communique avec un portique de contrôle, pour faire disparaître l’étape de la validation du paiement. Pour ce faire, il faut être équipé d’un iPhone avec une carte Visa en mode Express Transit et enregistrée dans le Wallet, d’un Proxmark utilisé comme émulateur de lecteur, d’un smartphone Android équipé d’une puce NFC. Il faut enfin que l’iPhone, qui peut effectivement rester verrouillé, soit au contact d’un terminal de paiement NFC, lui-même connecté à un ordinateur chargé de faire tourner le script qui génère le code nécessaire à la manœuvre.

Bref, des images impressionnantes et une vulnérabilité avérée, mais une mise en œuvre particulièrement complexe, qui rend le scénario d’une exploitation en conditions réelles assez peu plausible. « Il s’agit d’un problème avec le système Visa, mais Visa ne pense pas que ce type de fraude puisse avoir lieu dans le monde réel, étant donné les multiples couches de sécurité en place. Dans le cas peu probable où un paiement non autorisé aurait lieu, Visa a clairement indiqué que les porteurs de cartes seraient protégés », commentait à ce sujet Apple en 2021. Visa et Apple maintiennent ce même discours en 2026 en réponse à Veritasium.

Rappelons que les consommateurs victimes d’une fraude au paiement sans contact ont jusqu’à 13 mois après le débit des sommes pour demander à leur banque le remboursement de ces dernières, quel que soit le prestataire de carte bancaire impliqué.

Présomption d’usage de contenus culturels dans l’IA : les tentatives d’influence de Google

Google est très mobilisé pour faire évoluer la proposition de loi sur l’intelligence artificielle adoptée au Sénat le 8 avril dernier. En l’état, le texte instaure surtout une présomption d’usage des contenus culturels par les constructeurs d’IA dès que des indices peuvent en être repérés dans les résultats.

Concrètement, cette présomption s’appliquerait dès qu’il est possible de créer des contenus « dans le style » d’un ou une autrice, ou dès que la machine recrache des éléments visiblement protégés, comme ces extraits de Harry Potter retrouvés dans les données d’entraînement des machines de Meta ou de Mistral.

D’après L’Informé, Google a tenté de pousser trois stratégies pour minimiser les effets du texte : l’une aurait consisté à « limiter l’effet du texte aux contenus culturels de qualité », c’est-à-dire ne réserver l’idée de présomption d’entraînement qu’aux œuvres présentes dans les catalogues d’organismes de gestion collective.

Illustration : Flock

Une autre cherchait à « clarifier » la manière dont la loi s’agençait « avec l’exception de fouille de données », ou « text and data mining » (TDM) de la directive de 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique.

Si elle est « alléguée par les fournisseurs d’IA comme fondement juridique à leurs pratiques de moissonnage de contenus protégés », écrivait le Sénat dans son rapport, il s’agit néanmoins d’un « détournement » de l’objectif initial du texte.

Une autre tentative a consisté à empêcher que le texte final ne s’applique aux litiges déjà ouverts lorsqu’il entrera en vigueur. Là encore, le Sénat a retoqué sa proposition.

Que les sociétés numériques tentent d’influer sur la rédaction des textes légaux fait partie intégrante du jeu de la régulation – on retrouve quelquefois très directement leurs traces, y compris au niveau européen.

Dans le présent cas, les propositions de Google ont échoué à l’étape sénatoriale. Le texte doit encore être débattu à l’Assemblée nationale.