Apple Pay : toujours des négligences dans la sécurité
Apple Pay n’est pas le système aussi sécurisé que le constructeur le présente. L’an dernier, une étude montrait la faiblesse des banques et des différents systèmes d’authentification de leurs clients. Cette vérification se révélait bien souvent insuffisante, ce qui permettait aux malandrins ayant acquis illégalement des informations bancaires d’inscrire les cartes subtilisées dans Apple Pay — et d’en profiter (lire : Apple Pay : les banques négligentes face à la fraude).
Les choses ont-elles changé depuis ? Pas vraiment, d’après les spécialistes de la lutte contre la fraude Pindrop. David Dewey a pu inscrire les cartes de crédit de ses collègues sur son propre compte Apple Pay. Les systèmes de vérification de quatre banques ont ainsi été testés : dans le premier cas, il suffisait de fournir le numéro de la carte, le numéro CVV (les trois chiffres au dos) et la date d’expiration.
Dans le second cas, il fallait changer le nom du porteur de carte. Dans un autre, un peu d’ingénierie sociale (un tour sur Google) a permis de répondre à quelques questions de sécurité concernant la victime… Bref, il est encore trop facile pour les fraudeurs d’inscrire des cartes de manière frauduleuse sur Apple Pay. Les banques, contactées par Forbes, ne donnent pas vraiment de détails sur les mesures de sécurité prises depuis l’an dernier pour renforcer les systèmes d’identification des utilisateurs du service de paiement sans contact.
La plupart affirment utiliser « plusieurs méthodes de vérification ». Elles peuvent ainsi contacter directement les utilisateurs, mais sans rentrer dans les détails, ce qui peut se comprendre : pas question de donner des indices sur leurs manières de faire, au risque d’une exploitation frauduleuse. Mais ces efforts semblent donc encore largement insuffisants… Pindrop note qu’Apple Pay est devenu pour les fraudeurs et les hackers le moyen le plus simple et le plus rapide de profiter de leurs rapines, alors que la carte à puce (qui se démocratise rapidement aux États-Unis) est autrement plus complexe à tromper.
Si les banques doivent encore renforcer très sérieusement leurs systèmes d’identification, Apple a aussi un effort à faire. Apple Pay permet en effet d’entrer autant de numéros CVV qu’on le souhaite, au contraire de Samsung Pay ou Android Pay qui limitent les tentatives. Avec trois chiffres, le numéro CVV peut être craqué rapidement : il n’existe que 1 000 combinaisons possibles, ce qu’un ordinateur peut calculer très rapidement. Google et Samsung « sont bien plus zélés pour empêcher les attaques par force brute », explique Dewey.
La sécurité d’Apple Pay devrait donc être renforcée non seulement par les banques, mais aussi par Apple. À l’heure où il est possible de retirer de l’argent dans des distributeurs compatibles Apple Pay, le marché interlope des cartes de crédit bidons ou volées ne risque pas de se tarir.
En même temps actuellement même sans Apple Pay avec ses mêmes informations on peut payer sur internet. Les gens savent bien qu'il ne faut pas laisser sa carte à n'importe qui non plus
Non, moi je reçois aussi un SMS avec code à remplir sur le site pour pouvoir payer sur Internet.
@ bibi81
Ce n'est pas une procédure standard du tout. Parfois, on me demande ma date de naissance. Parfois, on ne me demande rien. Et parfois, j'ai droit à cette horreur de confirmation par SMS. Parce qu'il y a des gens qui voyagent, qui changent de numéro de téléphone, etc. et pour eux (donc pour moi), c'est un calvaire. Lorsque l'on m'envoie un SMS sur mon numéro français alors que je ne suis pas en France, je fais comment ? Google fait la même bêtise avec son système de sécurité, si je voyage quelque part et que j'utilise mon compte, ils m'envoient un SMS pour que je puisse confirmer que c'est bien moi. L'intention est louable, sauf que la dernière fois que ça me l'a fait, j'étais dans un pays dans lequel mon opérateur n'avait aucun partenaire local (donc en gros, pas de réseau avec ma SIM), juste du Wifi. Le pied. Je n'arrive pas à imaginer que ce cas de figure ne se soit jamais produit, et je trouve ça très étrange que ce soit la seule façon de faire. J'ai déjà demandé à ma banque s'il était possible de ne pas avoir cette histoire de SMS, mais ils n'y peuvent rien.
Ce n'est pas une bonne idée.
Faut arrêter, le problème vient pas d'Apple Pay. Bien sûr que si t'as la carte de quelqu'un d'autre tu peux faire des achats avec. Qu'il y ait Apple Pay ou non.
Non, il faut aussi le code PIN.
Faux, pas pour une vente à distance, sur internet par exemple...
Je l'ai écrit au dessus, les sites demandent un code SMS pour vérifier que tu es bien le porteur de la carte. Donc en plus de la carte il te faut le téléphone portable...
@bibi81 :
Pas forcément, par exemple l'enregistrement d'une carte sur PayPal ne nécessite pas ce code.
C'est en cours de déploiement, ça va arriver je pense.
J'espère que vous ne parlez pas du code PIN. En effet, beaucoup d'assurances bancaires ne vous couvrent pas si le fraudeur utilise le code PIN de la carte. Demander ce code en ligne pourrait donc poser de gros problèmes.
@bibi81 :
Cela dépend aussi des sites sur lesquels tu achètes. En tout cas avec ma banque c'est ainsi : parfois je reçois un sms avec code à taper sur le site, parfois non.
Tout à fait d'accord. Le problème se situe uniquement lors de l'enrôlement par la banque.
Il faut mettre en œuvre un système d'authentification forte.
Par ailleurs, avec les CVS dynamiques, il va bien falloir les changer...
Il faudrait aussi qu'Apple ne rende pas possible l'attaque par force brute. Ce n'est pas la première fois qu'elle se fait reprendre sur ce sujet pourtant ultra basique de la sécurité...
Ça en dit long sur le reste !
(copie)
Au final, c'est à la banque de vérifier qu'il n'y ait pas de force brute sur le CCV, puisque c'est elle qui vérifie la validité de la carte.
Si Apple peut faire la vérification, elle doit le faire. Sauf que le fonctionnement d'Apple Pay diffère de celui de Google et de Samsung. Apple ne conserve pas le numéro de CB. Il n'est donc peut être pas possible de faire cette vérification.
Le mot "voleur" n'est pas un mot qu'il est interdit d'utiliser !!!
Car votre "malandrin" à tour de bras, c'est relativement usant à force :(
Moi, j'aime bien les malandrins et leurs rapines...
Apple n'est pas dans son domaine.
Mais à les moyens d'embaucher des experts !
Apple à la culture de la déception...
Les banques sont toutes autant responsables.
Par exemple en France avec le paiement sans contact : sécurité zéro !
Vous pouvez vous faire prélever un montant juste en vous baladant dans la rue.
Par exemple en France avec le paiement sans contact : sécurité zéro !
Vous pouvez vous faire prélever un montant juste en vous baladant dans la rue.
1/ NON
2/ Les banques remboursent puisqu'elles ne sont pas en mesure de prouver que l'achat est légitime.
En tout cas personne n'a encore réussi à pirater les données d'une carte enregistrée dans Apple pay. Donc de ce point de vue la, le système est vraiment fiable à 100%. Dans cette affaire les experts font un faix procès à Apple.
En tout cas personne n'a encore réussi à pirater les données d'une carte enregistrée dans Apple pay.
Tu te bases sur quoi pour dire ça ? Tu n'espères tout de même pas qu'un voleur explique à Apple comment l'empêcher de voler ?
@ bibi81
C'est ce que font les chercheurs en sécurité. Sans me ranger du côté de Niro (car je n'ai pas cherché l'information), lorsque la sécurité d'un système est mis à mal, ça fait les gros titres. Il n'est pas nécessaire pour le « chercheur » de dévoiler les étapes, juste de faire une démonstration, et c'est très régulièrement le cas.
@bibi81
Je n'ai pas besoin de faire de recherche, car le système que Apple a mis en place empêche physiquement toute possibilité de piratage. Car la carte bancaire est stocké dans une puce spéciale qui elle-même génère un numéro unique lors des transactions. Ce qui fait que à aucun moment la carte en question et ses codes secrets se retrouve sur Internet. Et même si on nous vole notre téléphone, la carte bancaire est cryptée est protégé par Touch ID.
Je n'ai pas besoin de faire de recherche, car le système que Apple a mis en place empêche physiquement toute possibilité de piratage.
Evidemment ! D'ailleurs il n'y a jamais de faille dans les produits Apple. Le jailbreak n'existe pas. Ouf!
@bibi81 :
Tu ne comprends vraiment pas ce que je dis. Le numéro de carte ne sort jamais du téléphone, donc il ne se ballade jamais sur des serveurs en ligne. On ne peut pas pirater quelque chose qui n'existe pas.
Le numéro de carte ne sort jamais du téléphone
Qui est-ce qu'il te le dit/garanti ? Apple ? Le même Apple qui a des failles de partout dans ses produits et qui permet l'attaque par force brute ?
Est-ce que tu connais le concept de bug ?
Le numéro de CB ne sort pas de l'iPhone puisqu'il n'y est pas stocké. Il est juste utilisé lors de l'ajout d'une nouvelle carte, mais il n'est pas stocké ensuite.
D'autre part, l'enclave sécurisée utilisée entre autre par Apple Pay utilise son propre OS, indépendant d'iOS.
Tout ça ne garanti pas qu'il n'y a pas de bug !
Et? Votre argent sur votre compte est dématérialisé. Qu'est-ce qui vous garantit qu'il n'y ait pas de bug? Si vous avez peur des bugs, payez tout en liquide.
La banque me fournit un relevé de compte tous les mois que je vérifie avec ce que j'ai dépensé !
En cas de désaccord, je contacte ma banque. Et oui la banque a déjà fait des erreurs sur mon compte, ils m'ont bien évidemment recrédité les sommes prélevées par erreur.
Tiens, je croyais qu'Apple Pay était la solution ultime de sécurité pour le paiement sans contact, au contraire de ces "passoires" d'Android Pay et Samsung Pay...
L'article et les commentaires sont ras le plancher hein... La seule chose qu'on peut reprocher à Apple du point de vue de la sécurité c'est de laisser un nombre infini d'essai pour le cryptogramme visuel, mais bon si quelqu'un a accès à ta carte il faut vraiment qu'il soit un peu con pour pas avoir l'idée de la retourner...
Je schématise mais dans la majorité des cas en définitive Apple Pay ne change rien du point de vue de la sécurité : si on te pique ta carte, on va pouvoir s'en servir, rien de nouveau sous le soleil !
Alors oui il y a l'histoire des sms de confirmation, mais comme dit plus haut toutes les banques ne le proposent pas et ça n'est pas nécessaire sur tous les sites, donc là encore, Apple Pay ne change pas grand chose.
Par contre se balader dans la rue avec son iPhone et sa carte enregistrée dessus ça craint bien moins pour la sécurité de vos petits sous que de se balader avec sa carte bancaire. Donc c'est plutôt un progrès pour ce qui est de la sacro-sainte sécurité.
(Et @yohmi, certaines banques proposent de remplacer l'autorisation par sms de confirmation par une validation depuis leur application. Grosso modo une fois que tu as configuré un appareil de confiance, tu peux valider tes paiements dessus avec une simple connexion internet. Tu reçois une notification, tu rentres le code que tu as choisi et adieu les sms. Je sais que le CIC et la société générale font ça par exemple)
mais bon si quelqu'un a accès à ta carte
Et si il n'a pas accès à ta carte mais qu'il a ton numéro (un commerçant malhonnête par exemple) ?
Justement, avec Apple Pay, le commerçant n'a plus accès à la carte physique. Il ne peut donc pas avoir accès au numéro. De même, pour les achats en ligne avec Apple Pay (via une app), l'utilisateur n'a plus à rentrer son numéro de CB, limitant la fraude de ce côté là.
Il faut suivre un petit peu, hein...
Alors moi je n'ai pas Apple Pay, donc je paye avec ma carte, donc le commerçant obtient mon numéro, donc il peut rentrer mon numéro de carte dans son iPhone et ensuite payer avec (mon argent)...
Je parlais dans le cas d'un utilisateur d'Apple Pay...
Le problème est de toute façon inhérent aux cartes bancaires.
Non il est inhérent à Apple qui autorise l'attaque par force brute. Comme indiqué dans l'article, ses concurrents ne l'autorisent pas.
Le problème dont je parlais était que le numéro et le code de sécurité sont écrit en clair sur la CB.
Au final, c'est à la banque de vérifier qu'il n'y ait pas de force brute sur le CCV, puisque c'est elle qui vérifie la validité de la carte.
Si Apple peut faire la vérification, elle doit le faire. Sauf que le fonctionnement d'Apple Pay diffère de celui de Google et de Samsung. Apple ne conserve pas le numéro de CB. Il n'est donc peut être pas possible de faire cette vérification.
Au final, c'est à la banque de vérifier qu'il n'y ait pas de force brute sur le CCV, puisque c'est elle qui vérifie la validité de la carte.
Et elle fait comment ? Elle bloque toutes les requêtes venant des serveurs d'Apple ? De l'iPhone (qui peut changer d'IP facilement) ? En bloquant la carte bleue de la victime (sympa pour elle) ?
S'il n'y a pas de vérification au niveau de la banque, c'est une faille de sécurité.
En cas de seule vérification du côté d'Apple, il y a un gros risque. Un réseau criminel bien organisé pourrait avoir une flotte d'iPhones* pour tester chaque CCV d'une CB. Seule la banque peut prémunir ce genre d'attaques.
* Les flottes d'iPhones utilisées pour des raisons malhonnêtes existent depuis longtemps dans certains pays, notamment pour tricher sur les notations dans l'App Store.
Je dis que c'est à Apple d'empêcher la force brute, en clair au bout de trois échecs de vérification avec la banque, l'iPhone se bloque (pendant un certain temps).
"Je dis que c'est à Apple d'empêcher la force brute, en clair au bout de trois échecs de vérification avec la banque, l'iPhone se bloque (pendant un certain temps)."
Je suis bien d'accord, mais ça ne suffit pas.
@Flashy :
Ici, on ne reproche pas à Apple de ne pas se prémunir contre les vols réalisés avec une flotte d'iPhone, on reproche à Apple de permettre d'essayer toutes les combinaisons possibles avec 1 seul iPhone.
C'est comme reprocher à une porte de ne pas être blindée, alors qu'elle n'est même pas fermée à clef.
"Ici, on ne reproche pas à Apple de ne pas se prémunir contre les vols réalisés avec une flotte d'iPhone, on reproche à Apple de permettre d'essayer toutes les combinaisons possibles avec 1 seul iPhone."
Je l'ai bien compris, mais au final, limiter le nombre de combinaisons possibles au niveau de l'iPhone, c'est comme un site web avec une vérification en Javascript.
Il faut surtout une vérification au niveau de la banque. Dans mon exemple, avec chaque iPhone testant un CCV différent, seule la banque est capable de détecter la force brute à l'aide de plusieurs appareils.
Un petit article arrivant à point nommé après que l'on nous ait dit qu'Apple Pay pourrait débarquer en Europe en 2016 !!!
Pour le payement par internet, il ne devrait pas être possible de changer le No de téléphone à la volée quand il y a un appel de sécurité. C'est une faille trop évidente.
« alors que la carte à puce (qui se démocratise rapidement aux États-Unis) »
« rapidement », peut-être, mais avec au moins 10 ans de retard !
Enfin, pour inscrire une carte dans Apple Pay de manière sécurisée, ne faudrait-il pas et ne suffirait-il pas d'appliquer les mêmes méthodes que pour les paiements à distance avec ces cartes, comme par exemple l'envoi d'un SMS de confirmation avec code unique et temporaire au propriétaire de la carte ?
Retirer de l'argent sur internet n'est pas possible. Cest ce genre d'utilisation frauduleuses d Apple Pay qui est ici dénoncé