Samsung Pay : la faille dont Samsung se fiche
Pour pousser les consommateurs à payer leurs emplettes avec leurs smartphones, il faut que la confiance règne entre l’utilisateur et le système de paiement mobile. Et cette confiance passe par une sécurité robuste et si possible, sans faille. Et puisqu’à l’impossible nul n’est tenu, si une vulnérabilité venait à être découverte, la moindre des choses est de la prendre au sérieux et tout faire pour corriger le tir. Samsung n’est pas encore tout à fait prêt à offrir cette sécurité à tous ceux qui utilisent son service Samsung Pay.
Durant une conférence Black Hat, le chercheur en sécurité Salvador Mendoza a démontré qu’il est possible de subtiliser les informations qui sont transmises entre le smartphone et le terminal de paiement. Les tokens récupérés par ce biais peuvent ensuite être utilisés pour réaliser des transactions aux frais des victimes, y compris dans les pays où Samsung Pay n’est pas disponible.
Ces manipulations ne sont pas à la portée du premier hacker en herbe. Elles sont très complexes et nécessitent non seulement de l’expérience, de solides compétences techniques mais aussi un brin d’ingénierie sociale. Il y a très peu de (mal)chance d’être victime de cette faille. Mais malgré tout, elle existe et il appartient à Samsung d’apporter un correctif ou, à tout le moins, de faire semblant de s’en préoccuper…
Malheureusement, le constructeur n’a pas trop apprécié de voir cette vulnérabilité dévoilée au grand jour. Pour se défendre, Samsung a émis rien moins que trois communiqués officiels, dans lesquels il affirme que son service est « hautement sécurisé » ; dire que Samsung Pay est faillible est « tout simplement faux », la recherche de Mendoza étant qualifié d’ « inexacte ».
Le chercheur en sécurité ne s’est pas démonté et a publié de nouvelles preuves de la vulnérabilité de Samsung Pay, dont la vidéo de démonstration ci-dessus. Le constructeur est lui-même atteint de schizophrénie dans cette histoire, puisque l’on trouve tout en bas d’un de ses communiqués une mention pour le moins curieuse, puisqu’il reconnait que ce « modèle d’attaque » est une faille reconnue par les réseaux de cartes bancaires et Samsung Pay. En substance, c’est un risque « potentiel » mais « acceptable » que le fabricant et ses partenaires ont pris…
Devant la publicité faite autour de cette affaire, et malgré le risque « extrêmement bas », Samsung pourrait bien prendre des dispositions pour assurer effectivement la sécurité des utilisateurs de son service de paiement… ou au moins, adopter un discours un peu plus conciliant.
Mort de rire. Samsoule est toujours aussi pitoyable
[Bla bla bla. MB]
@heret :
Va falloir que les vieux se calment un peu ça devient aussi n'importe quoi dans les commentaires de macg ces temps-ci..
Bref c'est un site Apple, l'actualité android est secondaire. Et Puis t'as été assez grand pour trouver l'info tout seul donc bon.. Où est le problème ?
@heret :
Et à part dénigrer le travail du rédacteur et du site en entier, qu'apporte ce post? Pas terrible, en tout cas, s'ils sont dans le même esprit que vous, ça ne donne pas envie d'y aller, fussent-ils en avance de deux jours sur des news ne concernant pas directement Apple…
@heret :
Et alors ?
Tout les sites d'informations sont en retard par rapport à l'AFP. Personne n'en fait un plat.
Pour l'instant c'est le misanthrope qui est en retard :-D
J'espère qu'il a un mot d'excuse ...
Pourquoi? Je ne comprends pas ce commentaire.... Samsung foire une fois de plus, tu penses que je vais les défendre..?
Je n'agis que quand le rédacteur est à côté de la plaque ou qu'il y a des commentaires débiles. Je réagis donc au tien sur cet article.
@Ze_misanthrope :
En fait je te confonds avec Phantoom c'est pour ça :-)
Quel est l'intérêt du message ? Et pour avoir lu pas mal d'articles sur frandroid, il ne faut pas être regardant sur la qualité rédactionnelle !
La question intéressante est donc : est-ce possible avec Apple pay ?
@shaba :
Non, c'est la raison pour laquelle Apple a abandonné la techno magnétique.
@reborn :
Apple a "abandonné" la technologie magnétique ? Ils se sont donc penché sur la question ?
Je ne pense pas, le but était de cloner les autres solutions de paiement sans contact le plus rapidement possible.
@Sachouba
"Je ne pense pas, le but était de cloner les autres solutions de paiement sans contact le plus rapidement possible"
FAUX ( mais on a l'habitude avec toit)
Apple a développé pendant 4 ans sa solution de paiement, c'est pour qu'elle n'est pas bâclé comme celle des autres, et qu'elle n'est toujours pas hacké.
Je suis d'accord avec Heret sur le fait que c'est article est assez indigeste, ce n'est pas à la hauteur des autres articles de macg.
Pour ce qui est du "retard" par rapport à frandroid, rien de choquant en effet, nous sommes ici sur un site Apple.
Samsung s'en fiche de la sécurité bancaire de ses clients ou futurs clients ? Ah bon.
Bien noté.
Bande de blaireaux.
@scanmb :
L'un est l'emblème de la protection animale sur terre et de l'avenir des espèces et l'autre assimilé à une population au raisonnement souvent illogique, qui est dans le vrai à ton avis ? :D
Depuis quelques jours, je n'ai pas de son sur les vidéos du site – j'ai touché quelque chose que je n'aurais pas dû?? Quelqu'un a une explication?
@jacques_dh :
Et moi je les ai en miniature (genre 1/4 de l'écran)
@jacques_dh :
Moi c'est depuis plusieurs mois, et malgré les updates iOS.
Cet article est très bien .
On sait à terme que Samsung ne peut rivaliser qu' avec du hardware !
Je ne leur voit pas un avenir florissant
Ce qui serait intéressant de savoir c'est quelle est la partie de l'entourloupe nécessitant de l'ingénierie sociale ? de quel niveau ? Car si le malfaiteur échoue cette partie alors tout ce hack hardware ultra complexe nécessaire au piratage de Samsung Pay ne servira à rien.
D'un point de vue communication, il n'est pas choquant de voir l'entreprise nier la faille. C'est ce que font toutes les banques...ils ne vont pas confirmer que "potentiellement" n'importe quelle compte en banque peut être détourné avec un "brin" d'ingénierie social sans aucun hack hardware, pourtant c'est le cas tous jours. Le risque est modélisé, calculé et heureusement couvert (en France, la loi oblige les banques à rembourser sous 30jours).
Là ou je vous rejoint, c'est que Samsung se doit quand même de combler la partie hardware du hack même si elle est ultra complexe et que seule elle ne sert à rien. Car cela laisse une porte ouverte à d'autres hackers qui auront peut-être une solution exploitable pour frauder sans intervention humaine.
Samsung communique très mal sur la question et devrait prendre cette question plus au sérieux, ou du moins expliquer les risques.
Mais il est normal que toutes les failles imaginables ne puissent être comblées, puisque cela demande énormément d'argent et de recherches.
Ce serait comme affirmer que le verrouillage par l'iris n'est pas sécurisé, puisqu'il est possible de le contourner en tuant le possesseur d'un smartphone en étant équipé, puis en lui arrachant les yeux. Certes, c'est possible, mais le nombre de fois où cela pourrait arriver est bien trop faible pour nécessiter une révision hardware de dizaines de millions d'exemplaires.
Ou encore refuser la double vérification de l'identité pour un paiement en ligne, puisqu'il est possible de voler la carte bancaire et le smartphone d'une personne. Et pourtant, les banques n'ont pas l'air particulièrement perturbées.
@sachouba :
Toutes les failles imaginables, non. Mais les failles existantes et démontrées, oui.
Comment peut-on accepter l'absence de réaction du constructeur sur une faille risquant d'avoir des répercussions financières immédiates pour les utilisateurs ?
"Je risque de me faire plumer, mais c'est pas grave. Samsung bosse déjà sur le GS8 (qui présentera peut-être la même faille)." ?
@sachouba
Sauf que là, Samsung fait l'autruche.
Samsung se fiche de Pay... Ben moi, ma fiche de paie, je dois attendre la fin du mois pour la recevoir...
U a pas une duree à respecter pour leur donner Le temps de corriger cela avant de la devoiler
J'ai lu les commentaires. Il est où notre Gaillard ?