Apple Pay : une faille du mode Express avec les cartes Visa
Une faille d'Apple Pay permettant d'effectuer des paiements sans contact non autorisés a été repérée par des universitaires britanniques. Elle concerne le mode Express qui sert dans les transports en commun. La carte de paiement n’a pas besoin d’authentification (avec Face ID, Touch ID ou un code) ce qui permet de valider rapidement son trajet en approchant le téléphone ou la montre du lecteur, comme avec une carte normale. Les chercheurs ont réussi à abuser ce système « en faisant croire à un iPhone qu'il parlait à un portail de transports en commun », rapporte ZDNet.

Le problème ne concerne que les cartes Visa configurées dans ce mode express. Il est lié à l'utilisation d'un code unique (« Magic bytes ») destiné à déverrouiller Apple Pay qui est diffusé par les portiques des différentes entreprises de transport en commun. La fraude consiste à se servir d’un équipement radio pour faire croire à l'iPhone qu'il communique avec un de ces portiques. Derrière, un téléphone Android embarque une app spécifique pour rediriger le signal vers un terminal de paiement. L’iPhone pense avoir à faire à un portique, il n'est pas nécessaire qu'il soit déverrouillé et le paiement est validé à l’insu de l’utilisateur.
Une vidéo plus détaillée est disponible ici et l'on peut voir un paiement de 1 000 £ effectué à tort. Le modèle de téléphone ne change pas, l'expérience ayant été effectuée avec un iPhone 7 et un iPhone 12, la faille de sécurité est liée au réseau de paiement Visa. Visa comme Apple sont au courant du problème depuis plusieurs mois et les deux entreprises ont reconnu la faille, sans toutefois l’avoir corrigée à ce jour.
La Pomme rejette la faute sur Visa, qui se défend en expliquant que différents schémas de fraude sans contact ont été étudiés en laboratoire pendant « plus d'une décennie » sans qu'ils ne se montrent forcément réalisables en pratique. Les chercheurs déplorent qu'aucune des deux entreprises ne prenne la responsabilité (même partielle) du problème et n'ait diffusé de correctif. Visa rappelle cependant que si un paiement de ce type se produisait, les clients restent protégés par sa politique de responsabilité.
ZDNet observe que si cette attaque peut faire peur, elle n'est pas vraiment applicable à grande échelle. Les chercheurs en sécurité ont testé plusieurs combinaisons et seules les cartes Visa configurées en paiement express dans Apple Pay sont concernées, ce n’est pas le cas des cartes Mastercard ou American Express. Ils ont aussi testé avec Samsung Pay, sans succès.
Security week chez Apple…
@Lemon19
Comme ça craint sa mère !
@ Lemon19
« seules les cartes Visa configurées en paiement express dans Apple Pay sont concernées »
Moi qui pensait que dans le monde d'Apple, tout avait ete pense et verifie pour la securite parce qu'Apple maitrisait tout.
Apple ne maîtrise donc pas ce qui tourne sur ses machines ?
L'équivalent du mode Express existe-t-il aussi sur Android (il me semble que oui, sans doute via Google Pay, et que la fonctionnalité était même antérieure à Apple Pay dans les transports en commun) ? Si oui est-ce qu'il y a la même faille ?
@flux_capacitor
C’est aussi ce que je me demandais. Si tel est le cas et que cette fraude ne fonctionne pas, alors le problème est chez Apple. Mais si ça fonctionne, visa est en cause. Enfin, plus complexe que ça.
Mais ce serait intéressant. De toute façon, ce mode express ne me tente pas. Et aucun usage là où j’habite.
Le mode Express me tente mais davantage pour la future fonctionnalité Home Keys, que pour les transports (pas d'usage non plus).
Spécifiquement concernant Home Keys, j'ai cherché mais je n'ai trouvé aucune information jusqu'à présent indiquant si le mode opératoire est similaire au mode Express, c'est-à-dire s'il faut simplement passer son iPhone devant le lecteur NFC de la serrure ; ou s'il faut d'abord déverrouiller son iPhone, sélectionner la carte-clé dans Wallet puis déverrrouiller avec Touch ID ou Face ID avant enfin de présenter l'iPhone au lecteur NFC.
Si c'est le second cas, ça me semble encore trop contraignant par rapport à une clé physique standard qu'on sort juste de sa poche et qu'on tourne dans la serrure.
@flux_capacitor
Je suis assez d’accord.
Néanmoins, je ne serais pas pour activer un mode “express” pour une clé de serrure. Tout comme on peut payer avec l’Apple Watch sans code, car elle n’a pas quitté le poignet, je préférerais un verrouillage avant usage depuis l’iPhone. Ok, une clé n’a pas besoin de déverrouillage. LOL.
Pour ma part, la contrainte pour une porte est minime. Ce n’est que quelques fois dans la journée.
Aussi, le fait d’éviter d’avoir un trousseau de clé, moins à transporter dans ses poches. ☺️
Mais in n’a tous nos habitudes et préférences.
C’est une vulnérabilité qui peut faire peur, mais pas plus qu’un simple vol de CB, qui est quand même beaucoup plus simple à effectuer.
Et comme Visa rembourse en cas d’utilisation frauduleuse…
Apple est une passoire, c’est ce que je retiens de ces derniers mois…
Que ça soit pour l’environnement ou la sécurité, les actes ne suivent pas les mots….
@xav-stargate
Uniquement parce que ça fait du clic de parler d’Apple… de combien de failles sur android on entends pas parler dans la presse et/ou sur internet parce que ça intéresserait moins de monde que de critiquer Apple.
@Bounty23
Faut arrêter… Android a fait d’énormes efforts la où Aplle est resté assis sur ses lauriers. Et quand on voit comment les failles de sécurités ne sont pas traitées, excuse moi mais c’est de la mauvaise volonté, ni plus ni moins
@Bounty23
J’ai un iPhone, comme la plupart des utilisateurs ici, donc les failles Android ne me concerne pas du tout.
@xav-stargate
En l’occurrence le problème vient de chez Visa, puisque que sur les autres réseaux bancaires le problème n’existe pas, et Visa se dédouane en disant que sur toutes les possibilités celle-ci est improbable qu’elle se réalise dans la vie réelle, et si ça arrivait réellement de toute façon leur politique sera de rembourser.
@Jeckill13
Non dans ce genre de cas, toutes entreprises qui se respectent se mettent ensemble autour d’une table et travaille ensemble. Mais l’ego d’Apple fait que…
Lol, la vision bisounours des entreprises.
@Ichigo-Roku
Peut être mais elle fonctionne à 100% des cas :)
@xav-stargate
Les autres prestataires ont réussi à implémenter le service correctement et sans avoir cette faille, et ça serait la faute à l’égo de Apple si Visa n’arrive pas à faire son boulot correctement ? C’est un peu capilotracté comme conclusion. Dans ce cas n’importe quelle prestataire peut développer un service avec les pieds et faire un travail pourri, et après ça serait à Apple de corriger le problème… c’est une façon de raisonner un peu particulière quand même. Si un petit développeur avait un problème de sécurité particulier, qu’il demande une assistance à Apple car ça peut dépasser ses compétence je pourrai l’admettre, mais des sociétés comme les services bancaires on les moyen de faire leur boulot.
@Jeckill13
Merci. C'est tellement évident que je me demande pourquoi vous avez cette discussion ! L'argument serait (éventuellement) recevable si toutes les CB du marché avaient cette faille, point.
@ xav-stargate
« seules les cartes Visa configurées en paiement express dans Apple Pay sont concernées »
C'est trop difficile pour toi de lire l'article en entier ?
@marc_os
Je ne peux pas rentrer dans les détails ça contreviendrait à des NDA mais sachez que ce n’est pas aussi simple qu’une implémentation d’une interface …
J'ai constaté un problème qui évoque celui-ci en prenant le train ce week-end.
Je pose mon iPhone sur le portique pour scanner le QR code de mon billet et cela active automatiquement Apple Pay. Je croyais avoir fait un faux mouvement donc je m'y suis repris à plusieurs fois, toujours avec le même résultat.
@yocoman31
Ah, donc c'est connu comme problème ?
@donatello
Oui, il faut simplement utiliser soit l’application SNCF où Wallet pour montrer son QRCode et tu n’auras pas de problème
@xav-stargate
Ben j'utilisais Wallet justement. Au final j'ai utilisé mon Apple Watch.
@donatello
Ah mince :/ je n’ai jamais eu ce problème et je n’utilise que Wallet
@xav-stargate
Enfin, pour être précis, c'était Wallet depuis l'écran verrouillé.
@donatello
Ha ca viens peut être de la alors ! Il ne reste qu’à tester à votre prochain passage ! :)
@yocoman31
Plus précisément le portique SNCF intègre un lecteur (actif) et non une puce NFC (passive). Apple Pay ne s'active pas à l'approche d'une puce NFC, en revanche il s'active lorsqu'on l'approche de n'importe quel terminal NFC (comme un TPE) et c'est bien le but.
Approchez donc votre iPhone d'un portique d'immeuble compatible VIGIK (qui utilise le protocole MIFARE à la même fréquence) càd le petit truc rond en plastique noir sur la platine d'interphone, vous serez encore plus surpris :)
@donatello
J'ai constaté ça sur les bornes des transports lyonnais, en approchant un iPhone Apple Pay se déclenche, et cela depuis qu'Apple Pay ai disponible en France.
toutefois c'est juste une activation due à la puce NFC des bornes rien ne se passe même si on essaie de valider un paiement...
Il ne se passe rien, mais il ne se passe pas non plus ce qu'on voudrait qu'il se passe, à savoir que son billet de train soit validé en lisant le QRCode... mais comme ApplePay s'active de façon intempestive, le QRCode n'est plus affiché et on bloque toute la file de voyageurs qui attendent derrière qu'on veuille bien passer ce p...n de portique. 😡
@r e m y
En effet ça c’est plus embêtant ! Il faudrait vraiment que ce problème soit réglé.
@r e m y
Suffit de ne pas se mettre à 2 CM du code QR🤬🤬😳🤔
Bien sûr ! Comment n'y ai-je pas pensé... c'est moi qui le tiens mal! 😂
Tu ne crois pas qu'Apple pourrait faire en sorte que quand on choisit manuellement une carte dans le wallet, cette carte reste à l'écran et qu'ApplePay ne vienne pas s.imposer de lui-même? Ou qu'il évite de prendre tout émetteur nfc pour un terminal de paiement ?
Avec l'augmentation continue du nombre de cartes placées dans wallet (dont plusieurs gérant le nfc), il serait peut-être temps de supprimer cette priorité permanente donnée à ApplePay.
@r e m y
> Ou qu'il évite de prendre tout émetteur nfc pour un terminal de paiement ?
Ben en même temps qui est surpris que Apple s'interpose dès qu'elle détecte une situation où elle pense pouvoir capter une peu d'argent ?
Sa situation financière ne lui laisse guère d'autre choix...
@byte_order
Mais le lecteur NFC des portiques de transport EST aussi un terminal de paiement, justement ! Vous n'avez rien compris au mode Transport Express ou quoi ? En plus c'est le sujet de l'article 🤦♂️
Evidemment le mode TE n'est pas activé en France, mais ça marche très bien en Angleterre depuis un bail, par exemple. On paye son ticket au coup par coup en swipant l'iPhone sur le portique, sans même avoir à le déverrouiller.
Il FAUT donc qu'Apple Pay s'active à l'approche du lecteur NFC du portique. Si vous voulez scanner un QR code avec l'appareil photo de l'iPhone, oui c'est à vous de ne pas approcher l'appareil d'un lecteur NFC, c'est la base de la base, et non vous n'avez pas à râler contre Apple en criant au bug, c'est le monde à l'envers !
@ donatello
La seule fois où ça m'est arrivé, c'est parce que j'avais mis par mégarde le doigt sur le détecteur d'emprunte trop longtemps en tenant mon iPhone au dessus de la borne.
Utilise l'app SNCF sans mettre tes doigts partout, comme ça pas de problème.
Et de toute façon, ça ouvre juste l'interface et y a rien à payer.
Attention également au paiement en ligne avec Apple Pay. J’en ai fait l’amère expérience sur un site frauduleux qui varborait le;logo Apple Pay, j’ai donc utilisé ce moyen de paiement et lorsque trois jours après j’ai découvert que ce site était frauduleux j’ai contacté Apple qui m’a répondu que contrairement à Paypal il n’y avait aucune garantie de la part d’Apple qui ne fiat que transférer les coordonnées bancaires. En conclusion je n’utiliserai plus Apple Pay en ligne.
@grd13
Vos informations n’ont pas été données au site mais juste le numéro de l’iPhone. C’est le but d’Apple Pay.
@Krysten2001
Mais oui.
Grace à une opération magique, ils obtiennent d'une banque de l'argent en communiquant à la banque le numéro d'un iPhone. C'est bien connu, les banques acceptent des virements par n° d'IBAN ou... d'iPhone.