Ouvrir le menu principal

iGeneration

Recherche

Des fraudeurs profitent des banques partenaires d'Apple Pay

Florian Innocente

jeudi 05 mars 2015 à 07:07 • 21

iPhone

Apple Pay a donné de nouvelles idées à des spécialistes de la fraude à la carte bancaire, raconte The Guardian. Le système de paiement sans contact d'Apple n'a pas été "craqué" mais des malandrins ont su tirer profit d'une certaine passivité du côté des banques partenaires d'Apple. L'astuce est potentiellement exploitable par tout système similaire à Apple Pay.

Des banques ne prennent pas assez de précautions pour vérifier l'identité de la personne qui enregistre une carte bancaire avec Apple Pay. Résultat, d'après un spécialiste du paiement sur mobile, Cherian Abraham, des achats indus ont eu lieu, notamment dans les régions de Miami et de Dallas. Visés plus particulièrement, les Apple Store. Ces boutiques ont deux avantages : elles vendent des produits faciles à revendre à de bons prix et elles acceptent toutes Apple Pay.

Lorsque le propriétaire d'un iPhone ajoute une carte bancaire avec Apple Pay [fiche technique] il en entre manuellement les quelques informations essentielles (ou bien il photographie sa carte avec la caméra du téléphone). Puis iOS chiffre ces données avant de les envoyer sur les serveurs d'Apple. Apple déchiffre ces infos, regarde la banque concernée et chiffre à nouveau le tout en ajoutant une clef utilisable uniquement par l'organisme bancaire. La banque reçoit alors ce paquet avec quelques données en plus comme le nom de votre téléphone, sa position, etc.

C'est à ce stade que les choses se compliquent. La banque peut valider automatiquement votre identité, sans autre forme de procès, après avoir consulté le contenu des données reçues. C'est ce qui s'appelle dans le jargon bancaire, le "green path".

Une vérification supplémentaire peut être effectuée en cas de besoin, c'est le "yellow path". La banque vous demandera alors de lui fournir une autre preuve de votre identité pour s'assurer que vous n'enregistrez pas une carte volée. Cela peut être par le moyen d'un code reçu par SMS, un email, un appel…

Bien souvent, des banques ne réclament comme preuve à l'émetteur que les 4 derniers chiffres de son numéro de sécurité sociale, une information relativement aisée à obtenir par les malfaiteurs. Une fois la réponse donnée, le voleur peut s'en donner à coeur joie. D'autant que le paiement par mobile est beaucoup plus simple et rapide qu'avec une carte physique.

Aucun chiffre précis ne circule sur cette fraude qui permettrait d'en évaluer l'ampleur, The Guardian cite une source qui évoque « quelques millions ». Comme de coutume dans ce milieu, les quelques banques interrogées par The Verge ne font pas état de problèmes, elles soulignent la protection offerte à leurs clients en cas de débits frauduleux ou parlent d'une vérification en deux étapes déjà instaurée ou à venir.

Apple pour sa part a répondu au Guardian en rejetant la responsabilité de cette vérification sur les épaules des organismes bancaires, lesquels ont tous des politiques différentes.

Apple peut tout au plus faire de la double vérification de l'identité un passage obligé lorsqu'elle signe un partenariat avec une banque et ces dernières se doivent de trouver un moyen de rendre cette étape à la fois obligatoire, sans être fastidieuse. Mais cela pose un défi pour établir un protocole de vérification fiable et qui ne réside pas uniquement sur les petites mains des centres d'appels. Un établissement comme Bank of America a par exemple enregistré 1,1 million de cartes chez 800 000 de ses clients.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Lancer un streaming sur une Apple TV grâce à une cartouche ? C’est possible avec le NFC

04/07/2025 à 20:15

• 13


Free Mobile va pousser la 4G dans la bande des 900 MHz

04/07/2025 à 19:02

• 12


Guide d'achat : équipez votre iPhone pour des vacances au bord de la mer

04/07/2025 à 17:26

• 13


Bouygues Telecom va ajouter 2 € à certains abonnements B&You… sauf si vous refusez rapidement

04/07/2025 à 16:19

• 29


Promo : la batterie domestique Stream AC Pro d’EcoFlow à 713 € au lieu de 999

04/07/2025 à 15:47

• 10


Nintendo bride l'USB-C sur la Switch 2, ce que même Apple n'a pas osé faire

04/07/2025 à 11:46

• 38


L'indispensable avant de partir en vacances : la caméra de surveillance connectée

04/07/2025 à 11:11

• 0


Promo : l'iPad 2025 revient à 349 €, une bonne tablette pour les enfants et les grands-parents

04/07/2025 à 10:45

• 17


Test des traqueurs Ugreen FineTrack : moins chers que les AirTags, mais…

04/07/2025 à 10:00

• 10


Promo : iPhone 16 à 712 € (-250 €), iPhone 16 Pro à 958 € (-270 €)

04/07/2025 à 08:03

• 17


Refurb : l’Apple TV 4K est de retour à 139 €

04/07/2025 à 07:37

• 6


Les identifiants d’une quinzaine de futurs Mac en fuite

03/07/2025 à 19:51

• 25


Disney+ débarque sur la Freebox Révolution et Free offre six mois d'abonnement

03/07/2025 à 19:24

• 5


Le SOS d'urgence par satellite a sauvé un alpiniste aux États-Unis

03/07/2025 à 18:51

• 11


L’iPhone 17 Pro Max pourrait avoir une grosse batterie de 5 000 mAh

03/07/2025 à 16:45

• 42


Amazon Prime Video accueille la plateforme france.tv

03/07/2025 à 16:22

• 30