Selon un chercheur anglais, il existerait une vulnérabilité apparente qui pourrait être utilisée pour voler de l'argent sur un iPhone verrouillé lorsqu'une carte Visa est configurée avec Apple Pay Express Transit. Un commentaire de Sophos.
La commodité et la sécurité dans l'informatique sont souvent liées de la même manière à la liberté et à la sécurité. L'un ne vient qu'aux dépens de l'autre. Un exemple actuel est la fonctionnalité Apple Pay "Express Transit" : de petits montants peuvent être payés facilement, malgré le code de blocage. Mais selon les derniers rapports, cela peut être mortellement exploité. Paul Ducklin, expert en sécurité Sophos, explique le problème.
Un chercheur anglais découvre la vulnérabilité de l'iPhone
Un article qui n'a pas encore été publié par des chercheurs britanniques a fait la une des journaux fin septembre pour ses affirmations dramatiques sur Apple Pay : une vulnérabilité apparente permet de voler de l'argent sur un iPhone verrouillé lorsqu'une carte Visa est configurée avec Apple Pay Express Transit est .
Vous n'avez jamais entendu parler du transport express ? C'est l'une de ces idées intelligentes qui sacrifie la cybersécurité pour plus de commodité. En termes simples, cette fonctionnalité permet d'effectuer certains types de transactions tactiles même lorsque le téléphone est verrouillé - tant que Express Transit est activé.
Principe de paiement Apple Pay : payer sans autre approbation
Avec Express Transit, Apple Pay et l'iPhone fonctionnent un peu comme une carte de crédit ordinaire qui n'a pas besoin d'être déverrouillée avec un code PIN pour les transactions de faible valeur. Dans la plupart des pays européens, cette limite est comprise entre 25 et 50 euros.
Payer via Express Transit via smartphone est tout aussi simple. Si une transaction est demandée, il suffit d'un simple clic sur le smartphone verrouillé et l'argent est déjà chez le destinataire. Ce dernier clic peut facilement se produire par inadvertance si l'utilisateur clique rapidement sur quelque chose parce qu'il est actuellement intéressé par autre chose ou si ce clic est déclenché sans être remarqué par un étranger, par exemple dans un café ou dans un train bondé. Car contrairement à la carte de crédit, que vous gardez généralement dans votre portefeuille et que vous ne sortez que lorsque le paiement est effectivement dû au terminal, le téléphone portable est beaucoup plus souvent et visiblement présent, par exemple sur une table.
Le paiement défie le code PIN, les empreintes digitales ou la reconnaissance faciale
Afin que le smartphone ne puisse pas être utilisé à mauvais escient, nous le verrouillons généralement avec un code PIN ou un mécanisme d'authentification alternatif tel que l'empreinte digitale ou la reconnaissance faciale. Malheureusement, les utilisateurs continuent de déverrouiller les fonctionnalités du téléphone sur l'écran de verrouillage, ce qui réduit la sécurité que l'écran de verrouillage est conçu pour fournir en premier lieu, qu'il s'agisse d'afficher des notifications et des messages personnels lorsque le téléphone est verrouillé ou de ne pas profiter de l'utilisation de l'écran de verrouillage. Fonction Apple Pay Express Transit.
Les chercheurs à l'origine des travaux qui n'ont pas encore été publiés affirment maintenant qu'ils ont réussi à inciter les iPhones à effectuer des paiements frauduleux dans des circonstances soigneusement préparées. Ils ont installé leur propre terminal de paiement et l'ont déguisé en société de transport en commun faisant partie du système de paiement Express Transit.
Les chercheurs ont probablement déduit jusqu'à 1.000 XNUMX euros !
Apparemment, ils n'ont réussi à voler qu'avec des comptes de carte Visa (vraisemblablement, d'autres fournisseurs de paiement étaient plus stricts pour décider si le terminal de paiement X appartenait réellement à la société Y), et pire encore : les paiements n'étaient pas limités par la limite habituelle d'environ 50 euros. Les chercheurs affirment qu'en utilisant un terminal de paiement frauduleux, ils ont pu effectuer des transactions allant jusqu'à plus de 1.000 XNUMX €.
Apple Pay Express Transit : que faire ?
Malgré ce résultat dramatique, les propriétaires d'iPhone n'ont pas à paniquer, mais le rapport est une raison de reconsidérer l'utilisation de leurs propres smartphones. En général, les utilisateurs doivent réfléchir à deux fois aux exceptions qu'ils autorisent sur le téléphone verrouillé. Est-ce vraiment un fardeau de devoir entrer le code de verrouillage à chaque action ? Si vous répondez oui, vous devez vivre avec les risques. Pour tous ceux qui se sentent plus en sécurité avec un processus de déverrouillage, voici quelques conseils supplémentaires :
- Renonciation au transport express et à toutes les autres fonctionnalités actives sur l'écran de verrouillage. Ces options sacrifient inévitablement la sécurité au profit de la commodité.
- Le transit express en conjonction avec une carte Visa doit être évité pour le moment. Pour être juste envers Visa, nous supposons qu'avec suffisamment d'efforts, des astuces de contournement similaires pourraient également être trouvées pour d'autres fournisseurs de paiement. Si vous êtes vraiment inquiet et que vous ne pouvez pas vivre sans Express Transit, vous devez configurer une carte de débit prépayée avec un solde modéré. Au moins, un vol n'est possible que pour le crédit et non pour la ligne de crédit d'une carte de crédit.
- Ne laissez jamais votre téléphone sans surveillance et ne le sortez que lorsque vous l'utilisez. Sinon, tenez-le dans votre main ou ayez-le dans votre poche.
- Il faut utiliser le meilleur code de verrouillage possible et la période de verrouillage automatique la plus courte. Un téléphone verrouillé est un inconvénient mineur, mais un obstacle majeur pour les escrocs, même les férus de technologie. Un téléphone déverrouillé, en revanche, est une cible ouverte pour n'importe qui, même le plus simple des petits criminels.
- Vérifiez régulièrement les relevés bancaires et de carte de paiement. Lorsque vous utilisez Express Transit pour des paiements réguliers et prévisibles, par exemple dans les transports en commun, les réservations anormales sont faciles à repérer.
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.