Sécurité : Samsung Pay, le concurrent d’Apple Pay, est-il un danger ?
Samsung Pay, le concurrent d’Apple Pay disponible depuis quelques jours aux États-Unis, a-t-il été pris en défaut ? En mars, un groupe de pirates a pénétré par effraction dans les serveurs de LoopPay, la start-up américaine dont la technologie sert de base au service de paiement sans contact de Samsung. Le géant coréen de l’électronique avait acquis cette entreprise un mois auparavant pour 250 millions de dollars, avec l’objectif assez transparent de développer rapidement un concurrent au service d’Apple.
Cette équipe de hackers chinois, baptisée Codoso Group ou Sunshock Group suivant les spécialistes en sécurité à leur trousse, en avait après la technologie de LoopPay, notamment le système de lecture des bandes magnétiques sur les cartes bancaires (magnetic secure transmission ou « MST », ce qui ne s’invente pas).
Ce système est précisément ce qui distingue Samsung Pay d’Apple Pay : sur l’un comme sur l’autre service de paiement, les transactions bancaires sont transmises via NFC, mais celui de Samsung a cet avantage de fonctionner avec les boîtiers de paiement plus anciens, ceux qui utilisent encore les vieux systèmes de lecture dans lesquels il faut glisser la carte.
Le New York Times explique que les pirates n’ont pas infiltré les systèmes de Samsung, et qu’aucune donnée clients n’a été subtilisée. Aussi bien Samsung que LoopPay assurent que les machines infectées ont été retirées du circuit depuis la découverte de cette brèche, qui date du mois d’août. Malgré cette attaque, le groupe a décidé de poursuivre le lancement américain selon le planning prévu, sans retard.
Pour Samsung, il s’agit d’un « incident isolé » qui a touché un réseau séparé sans lien avec Samsung Pay, et qui de plus a été corrigé aussi promptement que possible. Les chercheurs en sécurité se disent plus prudents et indiquent qu’il est un peu prématuré de dire ce que les pirates ont fait ou n’ont pas fait avant la découverte de la vulnérabilité — durant cinq mois, ils ont pu exploiter ce réseau comme ils l’entendaient et le Cosodo Group est réputé pour installer des portes dérobées.
Le Ponemon Institute, une organisation non gouvernementale qui suit l’évolution des brèches de sécurité, explique qu’il faut en moyenne 46 jours pour boucher complètement une faille. Samsung a lancé Samsung Pay 38 jours après la découverte de la brèche… de quoi jeter effectivement un voile de suspicion sur le service de paiement. L’Europe devrait être également servie par Samsung Pay avant la fin de l’année.
Magnetic Secure Transmission pour MST, ce qui ne s'invente pas en francais peut etre, mais pour un acronyme anglais ca veut rien dire car MST en anglais c'est STD. Excusez du peu :-)
Il faut Samsung Payer pour coucher avec ! Protégez-vous et attention au MST !
Continuez de dire que Sansung c sécurisé, que certain sont bete pour acheter des iphones.....
Donc brouhaha pour rien ? Comme d'habitude non ?
"Le Ponemon Institute, une organisation non gouvernementale qui suit l’évolution des brèches de sécurité, explique qu’il faut en moyenne 46 jours pour boucher complètement une faille. Samsung a lancé Samsung Pay 38 jours après la découverte de la brèche… de quoi jeter effectivement un voile de suspicion sur le service de paiement. "
Ouah ca c'est du journalisme. Comparer une moyenne a un incident isole c'est du haut niveau de FUD.
@robrob :
Là où a laissé songeur c'est sur les possibilités d'autres fails, apparemment les mecs sont spécialisés en portes dérobés, donc bon ...
@robrob
Là tu as tort...le journaliste ici préfère se mettre du côté des chercheurs de sécurité qui indiquent que les pirates "pourraient" (c'est leur spécialité) installer des portes dérobées.
Donc entre "l'assurance" de Samsung ( hé oui c'est juste un incident isolé... ) et la prudence de chercheurs ( restons prudent, peut être que... ), il vaut mieux se mettre du côté des chercheurs de sécurité
@XiliX
Cette partie que tu cites n'est pas problematique et est meme logique. Mais mettre le doute sur un lancement 38 jours apres une faille parce que la moyenne de correction est 46 jours c'est n'importe quoi ou du FUD.
@robrob :
Bah c'est justement le gros problème. Cela suppose qu'ils n'ont trouvé ou loin d'être sûr d'avoir bouché toutes les failles... C'est ça ce qui est pointé par les chercheurs.
ahah samsung pay c'est null c'est pas sécurisé
@robrob
Ben c'est précisément le but d'une statistique, non ? Faire une moyenne afin qu'on puisse y comparer un élément précis, et voire justement comment il se situe face à cette moyenne... Je vois pas quel est le soucis dans ce cas de figure....
Bah en gros l'auteur laisse suggérer que la faille n'est pas bouchée.
Quand on voit que Apple prend souvent plus de 3 mois pour boucher les failles on devrait peut-être se dire qu'il faut que d'autres sociétés bouchent les failles beaucoup plus vite pour avoir une moyenne de 46 jours !
@tib51
Quand Apple bouche une faille en moins de 46 jours tu consideres qu'ils mentent et qu'elle n'est probablement pas bouchee?
De toute façon internet et sécurité n'ont jamais fait bon ménage...
J'attends juste le moment où des millions d'euros vont disparaître des comptes des particuliers utilisant ce système...
@Wolf
Moi j'attends que ca arrive aux centaines de millions d'utilisateurs d'iTunes...
Non mais franchement le niveau de tes remarques juste parce que tu detestes Samsung...
@robrob
Non juste qu'il ne défend pas Samsung à TOUT PRIX.
Il est impossible de faire un Hack généralisé de Apple Pay, car c'est une solution MATÉRIEL, qui tourne EN LOCAL. (Enclave sécurisé dans le processeur 64 bit).
Samsung ? C'est tout logiciel , y compris le stockage d'empreintes qui a déjà été Hack plusieurs fois.
Ponemon, attrapez-les tous.
@sachouba :
Fallait vraiment la sortir celle là.
le Pay de Samsung sent le gaz !
Je pense que Samsung va tout faire au boucher la faille de sécurité. S'ils arrivent pas, et si les Chinois en remettre une couche, alors ils vont avoir beaucoup de souci à se faire. En effet les Coréens sont très très attachés à la réputation des marques et assez frileux par rapport à la sécurité (sauf routière..).