Ouvrir le menu principal

iGeneration

Recherche

Apple Pay : une faille du mode Express avec les cartes Visa

Félix Cattafesta

jeudi 30 septembre 2021 à 14:05 • 42

Services

Une faille d'Apple Pay permettant d'effectuer des paiements sans contact non autorisés a été repérée par des universitaires britanniques. Elle concerne le mode Express qui sert dans les transports en commun. La carte de paiement n’a pas besoin d’authentification (avec Face ID, Touch ID ou un code) ce qui permet de valider rapidement son trajet en approchant le téléphone ou la montre du lecteur, comme avec une carte normale. Les chercheurs ont réussi à abuser ce système « en faisant croire à un iPhone qu'il parlait à un portail de transports en commun », rapporte ZDNet.

Le problème ne concerne que les cartes Visa configurées dans ce mode express. Il est lié à l'utilisation d'un code unique (« Magic bytes ») destiné à déverrouiller Apple Pay qui est diffusé par les portiques des différentes entreprises de transport en commun. La fraude consiste à se servir d’un équipement radio pour faire croire à l'iPhone qu'il communique avec un de ces portiques. Derrière, un téléphone Android embarque une app spécifique pour rediriger le signal vers un terminal de paiement. L’iPhone pense avoir à faire à un portique, il n'est pas nécessaire qu'il soit déverrouillé et le paiement est validé à l’insu de l’utilisateur.

Une vidéo plus détaillée est disponible ici et l'on peut voir un paiement de 1 000 £ effectué à tort. Le modèle de téléphone ne change pas, l'expérience ayant été effectuée avec un iPhone 7 et un iPhone 12, la faille de sécurité est liée au réseau de paiement Visa. Visa comme Apple sont au courant du problème depuis plusieurs mois et les deux entreprises ont reconnu la faille, sans toutefois l’avoir corrigée à ce jour.

La Pomme rejette la faute sur Visa, qui se défend en expliquant que différents schémas de fraude sans contact ont été étudiés en laboratoire pendant « plus d'une décennie » sans qu'ils ne se montrent forcément réalisables en pratique. Les chercheurs déplorent qu'aucune des deux entreprises ne prenne la responsabilité (même partielle) du problème et n'ait diffusé de correctif. Visa rappelle cependant que si un paiement de ce type se produisait, les clients restent protégés par sa politique de responsabilité.

ZDNet observe que si cette attaque peut faire peur, elle n'est pas vraiment applicable à grande échelle. Les chercheurs en sécurité ont testé plusieurs combinaisons et seules les cartes Visa configurées en paiement express dans Apple Pay sont concernées, ce n’est pas le cas des cartes Mastercard ou American Express. Ils ont aussi testé avec Samsung Pay, sans succès.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Tout savoir sur les rumeurs autour des AirPods Pro 3

07:53

• 8


Avant l'iPhone 17, Amazon solde les iPhone 16 (Pro)

07:52

• 3


Apple voudrait se débarrasser de la documentation papier, obligatoire en Europe

01/09/2025 à 21:41

• 55


Promo : La Poste Mobile ne fait pas payer jusqu’à la fin de l’année, y compris pour 300 Go de 5G

01/09/2025 à 20:55

• 12


L’app Carte Vitale corrige le bug qui l’empêchait de fonctionner correctement sous iOS 26

01/09/2025 à 20:05

• 39


Un porte-carte MagSafe avec blocage RFID !

01/09/2025 à 20:00

• 0


Promo exclusive CyberGhost VPN : jusqu’à –278 € sur votre VPN pour Mac et iPhone 📍

01/09/2025 à 19:08

• 0


iPhone 12 : deux ans après, Bruxelles confirme que la France pouvait l’interdire à cause de son DAS 🆕

01/09/2025 à 16:20

• 37


iPhone Fold : Face ID sur le point de plier bagage ?

01/09/2025 à 15:37

• 34


Bien sauvegarder son Mac en 2025 : quels disques durs, SSD ou NAS choisir ?

01/09/2025 à 13:55

• 38


Une énième app de films piratés en tête de l’App Store

01/09/2025 à 10:50

• 56


Ikea : plusieurs capteurs, prises et télécommandes sont au programme

01/09/2025 à 10:43

• 25


Tout ce que vous avez toujours voulu savoir sur l'iPhone 17 Pro et l'iPhone 17 Pro Max

01/09/2025 à 10:30

• 70


watchOS 26 : les limites frustrantes de l'app Notes

01/09/2025 à 09:57

• 11


Les iPhone 17 pourraient bien être dépourvus de tiroir pour SIM physique en Europe

01/09/2025 à 08:15

• 38


L'iMac fait sa rentrée !

01/09/2025 à 08:15

• 24