Des fraudeurs profitent des banques partenaires d'Apple Pay

Florian Innocente |

Apple Pay a donné de nouvelles idées à des spécialistes de la fraude à la carte bancaire, raconte The Guardian. Le système de paiement sans contact d'Apple n'a pas été "craqué" mais des malandrins ont su tirer profit d'une certaine passivité du côté des banques partenaires d'Apple. L'astuce est potentiellement exploitable par tout système similaire à Apple Pay.

Des banques ne prennent pas assez de précautions pour vérifier l'identité de la personne qui enregistre une carte bancaire avec Apple Pay. Résultat, d'après un spécialiste du paiement sur mobile, Cherian Abraham, des achats indus ont eu lieu, notamment dans les régions de Miami et de Dallas. Visés plus particulièrement, les Apple Store. Ces boutiques ont deux avantages : elles vendent des produits faciles à revendre à de bons prix et elles acceptent toutes Apple Pay.

Lorsque le propriétaire d'un iPhone ajoute une carte bancaire avec Apple Pay [fiche technique] il en entre manuellement les quelques informations essentielles (ou bien il photographie sa carte avec la caméra du téléphone). Puis iOS chiffre ces données avant de les envoyer sur les serveurs d'Apple. Apple déchiffre ces infos, regarde la banque concernée et chiffre à nouveau le tout en ajoutant une clef utilisable uniquement par l'organisme bancaire. La banque reçoit alors ce paquet avec quelques données en plus comme le nom de votre téléphone, sa position, etc.

C'est à ce stade que les choses se compliquent. La banque peut valider automatiquement votre identité, sans autre forme de procès, après avoir consulté le contenu des données reçues. C'est ce qui s'appelle dans le jargon bancaire, le "green path".

Une vérification supplémentaire peut être effectuée en cas de besoin, c'est le "yellow path". La banque vous demandera alors de lui fournir une autre preuve de votre identité pour s'assurer que vous n'enregistrez pas une carte volée. Cela peut être par le moyen d'un code reçu par SMS, un email, un appel…

Bien souvent, des banques ne réclament comme preuve à l'émetteur que les 4 derniers chiffres de son numéro de sécurité sociale, une information relativement aisée à obtenir par les malfaiteurs. Une fois la réponse donnée, le voleur peut s'en donner à coeur joie. D'autant que le paiement par mobile est beaucoup plus simple et rapide qu'avec une carte physique.

Aucun chiffre précis ne circule sur cette fraude qui permettrait d'en évaluer l'ampleur, The Guardian cite une source qui évoque « quelques millions ». Comme de coutume dans ce milieu, les quelques banques interrogées par The Verge ne font pas état de problèmes, elles soulignent la protection offerte à leurs clients en cas de débits frauduleux ou parlent d'une vérification en deux étapes déjà instaurée ou à venir.

Apple pour sa part a répondu au Guardian en rejetant la responsabilité de cette vérification sur les épaules des organismes bancaires, lesquels ont tous des politiques différentes.

Apple peut tout au plus faire de la double vérification de l'identité un passage obligé lorsqu'elle signe un partenariat avec une banque et ces dernières se doivent de trouver un moyen de rendre cette étape à la fois obligatoire, sans être fastidieuse. Mais cela pose un défi pour établir un protocole de vérification fiable et qui ne réside pas uniquement sur les petites mains des centres d'appels. Un établissement comme Bank of America a par exemple enregistré 1,1 million de cartes chez 800 000 de ses clients.


Tags
avatar byte_order | 

Les banques ont trouvé un moyen pour réduire la commission d'Apple sur les paiements par Apple Pay en ne pas luttant pas efficacement contre la fraude dans les Apple Stores

;-)

avatar lolodigital | 

Demander à une banque de faire son métier ? Vous plaisantez ?

avatar fragil | 

Plus les moyens de paiement dématérialisés seront simplifiés, plus les risques fraude existeront! A ce titre, Apple pay, Google pay, constituent des appels d'air important pour les fraudeurs.

Par ailleurs quoiqu'on en dise, cela rendra encore plus auprès des voleurs les Iphones! Non seulement ils pourront gagner de l'argent sur larevente du matériel, mais également tenter d'utiliser l'Apple Pay.

avatar Mrleblanc101 | 

@fragil :
Il faut l'emprunte digitale pour utiliser Apple Pay sur un terminal ayant déjà les cartes d'enregistrer... Faut vraiment que t'arrête de dire n'importe quoi ! En plus tu peux effacer ton iPhone avec localiser sur icloud

avatar clarilox | 

@fragil :
Ce n'est pas sur le paiement qu'il y a un problème mais sur l'autorisation donnée par la banque pour l'ajout d'une carte.

avatar Mécréant | 

@Clarilox:

D'un autre côté, si tout le monde devait faire la file à la banque pour prouver son identité avant d'obtenir le service Apple Pay, je ne suis pas sûr qu'il aurait eu autant de succès...

Ceci-dit, je connais des personnes qui se sont fait vider leurs comptes simplement par email: le voleur prend contact avec la banque avec une adresse mail de type "nom.prénom@", entretient une correspondance pour que le banquier s'habitue à l'idée que c'est bien son client qu'il a en ligne, puis demande des transferts... et ça a fonctionné, preuve que les banquiers ne sont pas spécialement tous spécialistes en informatique ("ben c'était vos noms et prénoms...") et que la dématérialisation simplifie les fraudes...

avatar apache | 

@Mécréant :
+1 ça arrive surtout aux entreprises pour faire des virements .les banques ne sont pas responsables de ce que font leur clients avec leurs CB

avatar Ast2001 | 

C'est de la responsabilité d'Apple de n'accepter que les banques qui ont le niveau de sécurité qui va bien.

avatar XiliX | 

@Ast2001

Donc selon toi Apple connait mieux le fonctionnement de la sécurisation des transactions bancaires que les banques ?

avatar Ast2001 | 

J'imagine qu'Apple qui a conçu le système d'ajout de cartes dans Apple Pay a les moyens d'obliger les banques à sécuriser l'info.

avatar BeePotato | 

@ Ast2001 : Ou on pourrait dire que c’est de la responsabilité de l’utilisateur de n’être client que de banques qui ont le niveau de sécurité qui va bien. ;-)

avatar Ast2001 | 

Formidable cette façon de dédouaner Apple systématiquement. Là, tu rejettes maintenant la responsabilité sur l'utilisateur final :-)

Apple développe un produit et met en place un système de sécurisation des transactions. Parfait. Certaines banques (connues) ne mettent pas en place de leur côté le mécanisme adéquat pour sécuriser la transaction de leur côté. C'est quand même de la responsabilité d'Apple d'exclure ces banques de leur système tant qu'elles n'auront pas le niveau de sécurité qui va bien. Non ?

avatar BeePotato | 

@ Ast2001 : Formidable cette façon de dédouaner l’utilisateur final systématiquement. Là, tu rejettes maintenant la responsabilité sur un simple intermédiaire qui n’a rien à voir avec les procédures de sécurité des banques. :-)

Comme tu peux le voir, ça marche dans les deux sens, ce genre de remarque. ;-)
Et c’est bien ce que j’essayais de te faire comprendre : savoir où se trouve cette responsabilité (de pallier la défaillance d’une banque dans ce domaine, parce qu’en fait à la base c’est clairement chez la banque que se trouve la responsabilité d’avoir des mesures de sécurité efficaces), c’est une question de point de vue.
On peut adopter, comme toi, le point de vue « cocon protecteur Apple », où c’est Apple qui doit prendre en main les utilisateurs et les protéger d’eux-mêmes en s’engageant à ne pas leur proposer Apple Pay si leur banque n’est pas assez sécurisée à ses yeux.
Ou on peut adopter le point de vue « je sais ce que je fais, bordel », où l’utilisateur considère qu’il est libre du choix de sa banque, quel que soit le sérieux de cette dernière, et que ce n’est pas à Apple de décider pour lui s’il a le droit d’utiliser Apple Pay avec sa banque ou non.

Ces deux points de vue sont valides, sûrement tout aussi valides l’un que l’autre.
Du coup, je tentais juste de souligner (apparemment trop subtilement pour certaines personnes) qu’affirmer comme tu l’as fait que c’était évidemment de la responsabilité d’Apple, c’était imposer son point de vue à tout le monde sans se poser de question, et qu’il pouvait y avoir d’autres points de vue sur la question.

Ah, et au fait : non, je ne dédouane pas Apple systématiquement — merci donc d’éviter d’affirmer ce genre de chose au sujet de quelqu’un que tu ne connais pas vraiment. ;-)

avatar Mécréant | 

@Beepotato:

"On peut adopter (...) le point de vue « cocon protecteur Apple » où c’est Apple qui doit prendre en main les utilisateurs et les protéger d’eux-mêmes"

On ne choisit pas d'adopter ce point de vue: Apple nous l'impose en limitant la liberté de ses utilisateurs"pour les protéger d'eux-mêmes"...

;-)

avatar BeePotato | 

@ Mécréant : D’habitude, oui. :-)
Je trouve dommage, du coup, pour une fois qu’Apple ne procède pas comme ça (« vous n’aurez pas Apple Pay parce que vous n’avez pas choisi une banque à la hauteur de notre fabuleux système de paiement », c’est bien quelque chose qu’on s’attendait à entendre de la part d’Apple), de se plaindre d’avoir un peu de liberté.

avatar Wolf | 

@Ast2001 :
Je propose d'exclure aussi du sytème les mauvais payeurs et les clients douteux tant qu'on y est

avatar apache | 

@Ast2001 :
Les banques devraient partir du principe q'apple pay est une CB et te créer un code rien que pour elle et non d'un matériel existent

avatar MiniMac | 

Normalement si une carte est bloquée pour vol , elle devrait l'être aussi dans ApplePay qui devrait devenir inactif … non ?

avatar en ballade | 

Bref vive la crête bancaire Francaise

avatar juliencavanagh | 

Objection votre honneur !
"les 4 derniers chiffres du numéro de sécurité sociale, une information facile à trouver"
Non, non et non ! Tous les américains savent que leur numéro de sécurité sociale est sûrement l'information la plus privée qui soit et ils ne se baladent jamais avec leur carte de social security. On est sensé retenir ce numéro par coeur et ne l'utiliser que dans un contexte sécurisé (pour ouvrir un compte en banque par exemple).

avatar yorick | 

Je ne vois pas pourquoi vous parlé dans les commentaires d'Apple.
Il y a le meme problème avec un simple achat sur internet.
Sauf que quand un hacker a un numéro et commande sur le net, il doit se faire livrer.
Pour "compliquer" les choses et ne pas se faire coller, il se font livrer chez un tier, et se tier reexpédi la marchandise.
J'avais recu un annonce dans ce style quand je recherchais du boulot.

Pour la validation de la CB il faudrait peut etre que les banques renforcent leur controle.
En France, on a les fameuses 3D sécures, la validation via l'application ou via SMS

CONNEXION UTILISATEUR