Apple Pay n’est pas le système aussi sécurisé que le constructeur le présente. L’an dernier, une étude montrait la faiblesse des banques et des différents systèmes d’authentification de leurs clients. Cette vérification se révélait bien souvent insuffisante, ce qui permettait aux malandrins ayant acquis illégalement des informations bancaires d’inscrire les cartes subtilisées dans Apple Pay — et d’en profiter (lire : Apple Pay : les banques négligentes face à la fraude).
Les choses ont-elles changé depuis ? Pas vraiment, d’après les spécialistes de la lutte contre la fraude Pindrop. David Dewey a pu inscrire les cartes de crédit de ses collègues sur son propre compte Apple Pay. Les systèmes de vérification de quatre banques ont ainsi été testés : dans le premier cas, il suffisait de fournir le numéro de la carte, le numéro CVV (les trois chiffres au dos) et la date d’expiration.
Dans le second cas, il fallait changer le nom du porteur de carte. Dans un autre, un peu d’ingénierie sociale (un tour sur Google) a permis de répondre à quelques questions de sécurité concernant la victime… Bref, il est encore trop facile pour les fraudeurs d’inscrire des cartes de manière frauduleuse sur Apple Pay. Les banques, contactées par Forbes, ne donnent pas vraiment de détails sur les mesures de sécurité prises depuis l’an dernier pour renforcer les systèmes d’identification des utilisateurs du service de paiement sans contact.
La plupart affirment utiliser « plusieurs méthodes de vérification ». Elles peuvent ainsi contacter directement les utilisateurs, mais sans rentrer dans les détails, ce qui peut se comprendre : pas question de donner des indices sur leurs manières de faire, au risque d’une exploitation frauduleuse. Mais ces efforts semblent donc encore largement insuffisants… Pindrop note qu’Apple Pay est devenu pour les fraudeurs et les hackers le moyen le plus simple et le plus rapide de profiter de leurs rapines, alors que la carte à puce (qui se démocratise rapidement aux États-Unis) est autrement plus complexe à tromper.
Si les banques doivent encore renforcer très sérieusement leurs systèmes d’identification, Apple a aussi un effort à faire. Apple Pay permet en effet d’entrer autant de numéros CVV qu’on le souhaite, au contraire de Samsung Pay ou Android Pay qui limitent les tentatives. Avec trois chiffres, le numéro CVV peut être craqué rapidement : il n’existe que 1 000 combinaisons possibles, ce qu’un ordinateur peut calculer très rapidement. Google et Samsung « sont bien plus zélés pour empêcher les attaques par force brute », explique Dewey.
La sécurité d’Apple Pay devrait donc être renforcée non seulement par les banques, mais aussi par Apple. À l’heure où il est possible de retirer de l’argent dans des distributeurs compatibles Apple Pay, le marché interlope des cartes de crédit bidons ou volées ne risque pas de se tarir.
