Ah New York ! Ses gratte-ciels emblématiques, ses taxis jaunes omniprésents, son magnifique Central Park, son métro et ses… pirates ? En effet, une faille dans le système de paiement sans contact des différents métros de la ville a permis à des personnes mal intentionnées de pister les utilisateurs du réseau de transport.
L'immense ville de New York peut compter sur un réseau de transports en commun très efficace pour supporter son ébullition constante. Ce n'est pas moins de 5 700 bus qui parcourent l'agglomération continuellement et 27 lignes de métro qui desservent 400 stations. Dans celui-ci, il est possible de payer son titre de transport en utilisant le sans-contact de sa carte bancaire, grâce au système de paiement OMNY. Pas de bol, celui-ci comportait une faiblesse logicielle qui, une fois exploitée, a permis à des hackers (à qui il arrive de se faire hacker aussi) d'espionner le déplacement des milliers de voyageurs simplement grâce au numéro de leur carte de crédit.
OMNY, un système vulnérable
Le système OMNY a été introduit par le Metropolitan Transportation Authority pour proposer une alternative facile au paiement en espèces ou par carte bancaire avec code. Ainsi, les voyageurs ont simplement à passer leur carte sur les bornes situées devant les portiques ou à utiliser Apple Pay sur leur navigateur pour acheter leur ticket. Très pratique lorsqu'on est pressé. Petit problème, le site officiel d'OMNY a rapporté qu'une faille majeure avait été détectée, qui permettait à n'importe qui d'accéder à l'historique des trajets d'une personne grâce à son numéro de carte de crédit.
Joseph Cox, co-fondateur de 404 Media et journaliste, en a fait l'expérience en proposant à un voyageur de le suivre en exploitant cette faille avec son consentement. Il a pu ainsi détailler tous ses parcours quotidiens, station par station. Le site d'OMNY permet en effet à ses utilisateurs de se créer un compte protégé grâce à un mot de passe, mais l'option à cocher était beaucoup moins visible que l'option « Vérification de l'historique des trajets ». Résultat : muni d'un simple numéro de carte de crédit et de sa date d'expiration, il était possible pour quiconque le voulait, de surveiller une personne choisie rentrant les identifiants sur le site. Pas de PIN ou de code à rentrer, aucune protection supplémentaire. Du pain béni pour les harceleurs ou hackers en herbe.
Apple Pay, ou l'illusion de la sécurité
Les utilisateurs d'Apple Pay n'étaient pas non plus à l'abri. Pour chaque transaction, le système d'Apple génère un numéro virtuel qui est censé protéger la carte de crédit physique des utilisateurs. Toutefois, des journalistes d'Engadget sont parvenus à utiliser leur numéro de carte de crédit relié à leur Apple Pay pour accéder à leur historique sans aucune protection.
En bref : Apple génère un numéro de carte virtuelle unique lorsqu'Apple Pay est utilisé pour acheter un titre de transport. Le vrai numéro de carte n'est pas partagé. Même si Apple Pay est censé maintenir la confidentialité lors des paiements (une faille avait pourtant déjà été révélée), OMNY peut faire correspondre les transactions en utilisant l'identifiant unique généré par le service Apple et donner accès au numéro de carte de crédit. En utilisant la carté de crédit physique (pas le code généré par Apple Pay) pour accéder à l'historique de déplacement, OMNY associe cet historique au compte de l'utilisateur. Et même si le numéro de carte n'est pas récupéré, le système de paiement OMNY enregistre l'identifiant de la transaction qui est relié au compte Apple Pay.
Face à la situation, OMNY a déclaré qu'elle ne pouvait pas accéder aux numéros de carte des voyageurs qui utilisent Apple Pay. De son côté, Apple n'a pas répondu aux questions portant sur l'association des informations qu'OMNY pratique sur son site. En attendant de régler le problème, le MTA a simplement désactivé temporairement la fonctionnalité pour garantir la confidentialité des voyageurs.
Source : Engadget
