Des experts dévoilent deux vulnérabilités concernant Google Wallet

Des spécialistes en sécurité viennent de découvrir plusieurs vulnérabilités dans le système de paiement Google Wallet. Vidéos à l'appui, ils démontrent que le service conserve en clair le code PIN permettant de réaliser des transactions. De même, si les données sont effacées, un nouveau code PIN est attribué sans aucune vérification sur le véritable détenteur du compte.

L'éditeur de sécurité zveloLABS a publié une note montrant certaines failles du service de paiement Google Wallet (disponible aux Etats-Unis et utilisant la technologie sans contact NFC). Il explique que le service stocke en clair le hash du code PIN utilisé pour sécuriser une transaction. Selon l'ingénieur Joshua Rubin, il est donc ensuite possible de retrouver ce code.

En effet, un code PIN est composé de 4 chiffres, il n'existe donc que 10 000 combinaisons de chiffres possibles. Rubin explique qu'une attaque par force brute pourrait permettre de trouver rapidement ce code de sécurité. Un pirate pourrait alors, s'il est en possession du smartphone, tenter d'accéder au compte Wallet de la victime. zveloLABS précise que la division de Google chargée de la sécurité est au courant de la faille.

En attendant une mise à jour de sécurité, une seconde vulnérabilité a été publiée par The Smartphone Champ. Le site explique qu'aucune protection n'existe si un utilisateur souhaite procéder à l'effacement de l'ensemble des données de l'application. Un nouveau code PIN est fourni et permet ainsi de se connecter à nouveau au service afin d'effectuer de nouveaux paiements.

Un pirate possédant le smartphone pourrait donc facilement se procurer ce code pour réaliser de nouveaux paiements. De son côté, Google a indiqué avoir temporairement désactivé l'approvisionnement des comptes. La firme devrait prochainement publier un correctif de sécurité.