Pour pousser les consommateurs à payer leurs emplettes avec leurs smartphones, il faut que la confiance règne entre l’utilisateur et le système de paiement mobile. Et cette confiance passe par une sécurité robuste et si possible, sans faille. Et puisqu’à l’impossible nul n’est tenu, si une vulnérabilité venait à être découverte, la moindre des choses est de la prendre au sérieux et tout faire pour corriger le tir. Samsung n’est pas encore tout à fait prêt à offrir cette sécurité à tous ceux qui utilisent son service Samsung Pay.

Durant une conférence Black Hat, le chercheur en sécurité Salvador Mendoza a démontré qu’il est possible de subtiliser les informations qui sont transmises entre le smartphone et le terminal de paiement. Les tokens récupérés par ce biais peuvent ensuite être utilisés pour réaliser des transactions aux frais des victimes, y compris dans les pays où Samsung Pay n’est pas disponible.

Ces manipulations ne sont pas à la portée du premier hacker en herbe. Elles sont très complexes et nécessitent non seulement de l’expérience, de solides compétences techniques mais aussi un brin d’ingénierie sociale. Il y a très peu de (mal)chance d’être victime de cette faille. Mais malgré tout, elle existe et il appartient à Samsung d’apporter un correctif ou, à tout le moins, de faire semblant de s’en préoccuper…

Malheureusement, le constructeur n’a pas trop apprécié de voir cette vulnérabilité dévoilée au grand jour. Pour se défendre, Samsung a émis rien moins que trois communiqués officiels, dans lesquels il affirme que son service est « hautement sécurisé » ; dire que Samsung Pay est faillible est « tout simplement faux », la recherche de Mendoza étant qualifié d’ « inexacte ».

Le chercheur en sécurité ne s’est pas démonté et a publié de nouvelles preuves de la vulnérabilité de Samsung Pay, dont la vidéo de démonstration ci-dessus. Le constructeur est lui-même atteint de schizophrénie dans cette histoire, puisque l’on trouve tout en bas d’un de ses communiqués une mention pour le moins curieuse, puisqu’il reconnait que ce « modèle d’attaque » est une faille reconnue par les réseaux de cartes bancaires et Samsung Pay. En substance, c’est un risque « potentiel » mais « acceptable » que le fabricant et ses partenaires ont pris…

Devant la publicité faite autour de cette affaire, et malgré le risque « extrêmement bas », Samsung pourrait bien prendre des dispositions pour assurer effectivement la sécurité des utilisateurs de son service de paiement… ou au moins, adopter un discours un peu plus conciliant.