Pour gérer vos consentements :

Vaste arnaque à l’Apple Pay aux Etats-Unis

Payer avec son iPhone 6 et 6 Plus est-il sans risque ? Si Apple le maintient, ce n’est certainement pas l’avis de nombre d’utilisateurs américains. Aux Etats-Unis des cybercriminels ont monté des arnaques sur le système de paiement mobile d’Apple combiné à des données personnelles volées d’identité et de cartes bancaires, rapporte The Gardian.

La faille ne vient pas du système de paiement depuis le smartphone en lui-même, exclusivement opéré à partir de l’empreinte digitale de l’utilisateur et d’un codage numérique, mais du système de vérification et validation des banques. Une faiblesse dont les cybercriminels n’hésitent pas à s’emparer pour se faire passer pour qui ils ne sont pas.

La faille bancaire

Concrètement, les arnaqueurs créent de nouveaux comptes de paiement Apple, depuis des iPhone, à partir de données d’identités volées. Il faut savoir que, si le compte répond à certains critères (ancienneté, activité, date de la carte bancaire associée…), Apple le valide. Il est alors automatiquement accepté par la banque pour les paiements. Dans le cas contraire, si Apple ne donne pas son feu vert, le constructeur transfère aux banques le soin d’assurer elles-mêmes les vérifications qui s’imposent. C’est là que le bât blesse.

Les cybercriminels se contentent en effet de fournir, par téléphone notamment, aux établissements bancaires des informations volées, à savoir des numéros de cartes de paiement ainsi que des numéros de sécurité sociale (et même les 4 derniers chiffres parfois), un élément couramment utilisé aux Etats-Unis pour l’identification des individus. Autant d’éléments régulièrement commercialisés dans les bas-fonds de la Toile issus, notamment, de piratages de base de données d’entreprises comme celles dont ont été victimes en dizaines de millions les magasins Target ou Home Depot l’année dernière. Une fois le sésame obtenu des banques, les arnaqueurs peuvent passer à l’action, à savoir payer des biens avec leurs iPhone sans avoir rien à débourser.

Des arnaques depuis les Apple Store

Le plus « drôle » dans cette histoire est qu’un volume important de transactions est passé depuis… les Apple Store. Se sont en effets des lieux qui acceptent l’Apple Pay et proposent des produits haut de gamme qui pourront facilement trouver preneur au marché noir. Et, au final, Apple cautionne, indirectement, une arnaque, tout en en bénéficiant.

Difficile d’évaluer le volume de transactions émises frauduleusement depuis la lancement d’Apple Pay en octobre dernier, les banques restant discrètes sur le sujet. Le fait que plus d’un million de clients JP Morgan Chase et 800 000 de Bank of America aient associé leurs cartes de paiement à un compte Apple iTunes peut tout juste donner une idée. Aux Etats-Unis, les pertes liées à la fraude par vol d’identité totalisaient 24,7 milliards de dollars en 2013. Dont les deux-tiers impliquent des paiements par carte bancaire. Les paiements frauduleux par Apple Pay ne représentent probablement qu’une goutte d’eau de cet océan d’argent volé. Mais les banques devraient rapidement être amenées à réviser leur mécanisme d’authentification des utilisateurs. Toujours est-il que, contrairement à la promesse émise, les transactions par mobile ne renforcent pour le moment pas la sécurité des paiements.


Lire également
Enquête : Le paiement mobile NFC sécurisé, vraiment ?
Des commerçants US débranchent Apple Pay et Google Wallet

Recent Posts

ESN : DXC cherche (encore) à se vendre

DXC Technology confirme des discussions avec un "sponsor financier". La société de capital-investissement BPEA serait…

2 heures ago

Cybersécurité : pourquoi Pradeo s’offre la start-up rennaise Yagaan

En prenant le contrôle de Yagaan, Pradeo dit engager la consolidation entre acteurs français de…

5 heures ago

6 casques VR pour le métavers d’entreprise

Quelles portes d'entrée dans les métavers B2B ? Côté casques, voici six modèles d'autant de…

5 heures ago

ESN 2022 : le top 10 en France

L'année 2021 est marquée par une croissance de 12 % pour les ESN et ICT,…

6 heures ago

OpenStack assouplit sa politique de saut de version

OpenStack va simplifier le basculement entre des versions majeures non consécutives, avec les mêmes garanties…

9 heures ago

5 scale-up françaises de cybersécurité à retenir

De Ledger à HarfangLab, des entreprises et start-up françaises de sécurité cyber et protection de…

1 jour ago