Samsung Pay, le concurrent d’Apple Pay disponible depuis quelques jours aux États-Unis, a-t-il été pris en défaut ? En mars, un groupe de pirates a pénétré par effraction dans les serveurs de LoopPay, la start-up américaine dont la technologie sert de base au service de paiement sans contact de Samsung. Le géant coréen de l’électronique avait acquis cette entreprise un mois auparavant pour 250 millions de dollars, avec l’objectif assez transparent de développer rapidement un concurrent au service d’Apple.
Cette équipe de hackers chinois, baptisée Codoso Group ou Sunshock Group suivant les spécialistes en sécurité à leur trousse, en avait après la technologie de LoopPay, notamment le système de lecture des bandes magnétiques sur les cartes bancaires (magnetic secure transmission ou « MST », ce qui ne s’invente pas).
Ce système est précisément ce qui distingue Samsung Pay d’Apple Pay : sur l’un comme sur l’autre service de paiement, les transactions bancaires sont transmises via NFC, mais celui de Samsung a cet avantage de fonctionner avec les boîtiers de paiement plus anciens, ceux qui utilisent encore les vieux systèmes de lecture dans lesquels il faut glisser la carte.
Le New York Times explique que les pirates n’ont pas infiltré les systèmes de Samsung, et qu’aucune donnée clients n’a été subtilisée. Aussi bien Samsung que LoopPay assurent que les machines infectées ont été retirées du circuit depuis la découverte de cette brèche, qui date du mois d’août. Malgré cette attaque, le groupe a décidé de poursuivre le lancement américain selon le planning prévu, sans retard.
Pour Samsung, il s’agit d’un « incident isolé » qui a touché un réseau séparé sans lien avec Samsung Pay, et qui de plus a été corrigé aussi promptement que possible. Les chercheurs en sécurité se disent plus prudents et indiquent qu’il est un peu prématuré de dire ce que les pirates ont fait ou n’ont pas fait avant la découverte de la vulnérabilité — durant cinq mois, ils ont pu exploiter ce réseau comme ils l’entendaient et le Cosodo Group est réputé pour installer des portes dérobées.
Le Ponemon Institute, une organisation non gouvernementale qui suit l’évolution des brèches de sécurité, explique qu’il faut en moyenne 46 jours pour boucher complètement une faille. Samsung a lancé Samsung Pay 38 jours après la découverte de la brèche… de quoi jeter effectivement un voile de suspicion sur le service de paiement. L’Europe devrait être également servie par Samsung Pay avant la fin de l’année.
