Présentation du service de paiement mobile Apple Pay lors de la conférence de lancement de l'iPhone 6
Payer avec son iPhone 6 et 6 Plus est-il sans risque ? Si Apple le maintient, ce n’est certainement pas l’avis de nombre d’utilisateurs américains. Aux Etats-Unis des cybercriminels ont monté des arnaques sur le système de paiement mobile d’Apple combiné à des données personnelles volées d’identité et de cartes bancaires, rapporte The Gardian.
La faille ne vient pas du système de paiement depuis le smartphone en lui-même, exclusivement opéré à partir de l’empreinte digitale de l’utilisateur et d’un codage numérique, mais du système de vérification et validation des banques. Une faiblesse dont les cybercriminels n’hésitent pas à s’emparer pour se faire passer pour qui ils ne sont pas.
Concrètement, les arnaqueurs créent de nouveaux comptes de paiement Apple, depuis des iPhone, à partir de données d’identités volées. Il faut savoir que, si le compte répond à certains critères (ancienneté, activité, date de la carte bancaire associée…), Apple le valide. Il est alors automatiquement accepté par la banque pour les paiements. Dans le cas contraire, si Apple ne donne pas son feu vert, le constructeur transfère aux banques le soin d’assurer elles-mêmes les vérifications qui s’imposent. C’est là que le bât blesse.
Les cybercriminels se contentent en effet de fournir, par téléphone notamment, aux établissements bancaires des informations volées, à savoir des numéros de cartes de paiement ainsi que des numéros de sécurité sociale (et même les 4 derniers chiffres parfois), un élément couramment utilisé aux Etats-Unis pour l’identification des individus. Autant d’éléments régulièrement commercialisés dans les bas-fonds de la Toile issus, notamment, de piratages de base de données d’entreprises comme celles dont ont été victimes en dizaines de millions les magasins Target ou Home Depot l’année dernière. Une fois le sésame obtenu des banques, les arnaqueurs peuvent passer à l’action, à savoir payer des biens avec leurs iPhone sans avoir rien à débourser.
Le plus « drôle » dans cette histoire est qu’un volume important de transactions est passé depuis… les Apple Store. Se sont en effets des lieux qui acceptent l’Apple Pay et proposent des produits haut de gamme qui pourront facilement trouver preneur au marché noir. Et, au final, Apple cautionne, indirectement, une arnaque, tout en en bénéficiant.
Difficile d’évaluer le volume de transactions émises frauduleusement depuis la lancement d’Apple Pay en octobre dernier, les banques restant discrètes sur le sujet. Le fait que plus d’un million de clients JP Morgan Chase et 800 000 de Bank of America aient associé leurs cartes de paiement à un compte Apple iTunes peut tout juste donner une idée. Aux Etats-Unis, les pertes liées à la fraude par vol d’identité totalisaient 24,7 milliards de dollars en 2013. Dont les deux-tiers impliquent des paiements par carte bancaire. Les paiements frauduleux par Apple Pay ne représentent probablement qu’une goutte d’eau de cet océan d’argent volé. Mais les banques devraient rapidement être amenées à réviser leur mécanisme d’authentification des utilisateurs. Toujours est-il que, contrairement à la promesse émise, les transactions par mobile ne renforcent pour le moment pas la sécurité des paiements.
Lire également
Enquête : Le paiement mobile NFC sécurisé, vraiment ?
Des commerçants US débranchent Apple Pay et Google Wallet
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.