Une vulnérabilité présente dans le service « Transport express » d'Apple Pay permettrait à des pirates de réaliser des paiements frauduleux sur un iPhone verrouillé.
La faille n'est présente qu'en combinaison avec une carte Visa et peut permettre de réaliser des paiements sans limite de somme.
Des paiements frauduleux réalisés sans déverrouiller l'iPhone
En règle générale, un paiement réalisé à l'aide d'Apple Pay demande une confirmation, que ce soit à l'aide de Face ID, de Touch ID ou d'un code d'accès. Mais, pour faciliter le paiement dans les transports en commun, Apple a introduit la fonctionnalité « Transport express », qui permet de payer ses trajets sans avoir à déverrouiller son téléphone ou confirmer le paiement. Des chercheurs de deux universités anglaises, celle de Birmingham et celle de Surrey, se sont penchés sur la fonctionnalité et ont trouvé une faille lorsque la fonctionnalité était utilisée avec une carte Visa.
Pour déterminer que le paiement vient bien d'un service de transport, une séquence de bytes, des « magic bytes », est envoyée au téléphone pour passer outre le verrouillage d'écran. Cette méthode a permis aux chercheurs de réaliser une attaque de type « man-in-the-middle », plus précisément « replay and relay ». L'attaque fonctionne en envoyant les magic bytes vers l'iPhone, pour qu'il pense communiquer avec le lecteur EMV d'un service de transport. En plus de ça, certains paramètres doivent être activés, comme la Offline Data Authentification (ODA), qui permet de valider un paiement comme légitime sans nécessiter de connexion à Internet. Elle est particulièrement utile dans les transports, où elle permet aux utilisateurs de payer et de passer les portiques sans attendre que le terminal soit connecté.
Cette méthode fonctionne pour des paiements en dessous de la limite autorisée. Pour réaliser des paiements au-dessus, il faut modifier un paramètre supplémentaire pour faire croire au lecteur de carte EMV que l'utilisateur a validé la transaction. De cette manière, les chercheurs ont réussi à réaliser un paiement de 1 000 £ à partir d'un iPhone verrouillé.
Une vulnérabilité encore présente
Les chercheurs ont testé leur attaque dans le cas où une carte Mastercard est utilisée avec Apple Pay ou qu'une carte Visa est utilisée avec Samsung Pay. Aucune de ces deux combinaisons n'est vulnérable, la faille vient bien de la combinaison Apple Pay et Visa. Ils ont prévenu Apple de la vulnérabilité en octobre 2020 et Visa en mai 2021. Si elle n'est pas encore corrigée, c'est parce que les deux entreprises n'ont pas réussi à déterminer qui était en faute et qui devait la corriger.
En attendant, les chercheurs conseillent de ne pas utiliser sa carte Visa en mode « Transport express ». La vulnérabilité semble difficile à exploiter à la volée, sur un iPhone dans un sac par exemple, à cause du matériel et des modifications nécessaires. Un utilisateur dont le téléphone est volé ou perdu pourrait en revanche être beaucoup plus vulnérable. Dans ce cas, les chercheurs conseillent d'activer immédiatement le mode Perdu et de contacter sa banque.
Sources : TechXplore, Étude
