Présentation du service de paiement mobile Apple Pay lors de la conférence de lancement de l'iPhone 6
Payer avec son iPhone 6 et 6 Plus est-il sans risque ? Si Apple le maintient, ce n’est certainement pas l’avis de nombre d’utilisateurs américains. Aux Etats-Unis des cybercriminels ont monté des arnaques sur le système de paiement mobile d’Apple combiné à des données personnelles volées d’identité et de cartes bancaires, rapporte The Gardian.
La faille ne vient pas du système de paiement depuis le smartphone en lui-même, exclusivement opéré à partir de l’empreinte digitale de l’utilisateur et d’un codage numérique, mais du système de vérification et validation des banques. Une faiblesse dont les cybercriminels n’hésitent pas à s’emparer pour se faire passer pour qui ils ne sont pas.
Concrètement, les arnaqueurs créent de nouveaux comptes de paiement Apple, depuis des iPhone, à partir de données d’identités volées. Il faut savoir que, si le compte répond à certains critères (ancienneté, activité, date de la carte bancaire associée…), Apple le valide. Il est alors automatiquement accepté par la banque pour les paiements. Dans le cas contraire, si Apple ne donne pas son feu vert, le constructeur transfère aux banques le soin d’assurer elles-mêmes les vérifications qui s’imposent. C’est là que le bât blesse.
Les cybercriminels se contentent en effet de fournir, par téléphone notamment, aux établissements bancaires des informations volées, à savoir des numéros de cartes de paiement ainsi que des numéros de sécurité sociale (et même les 4 derniers chiffres parfois), un élément couramment utilisé aux Etats-Unis pour l’identification des individus. Autant d’éléments régulièrement commercialisés dans les bas-fonds de la Toile issus, notamment, de piratages de base de données d’entreprises comme celles dont ont été victimes en dizaines de millions les magasins Target ou Home Depot l’année dernière. Une fois le sésame obtenu des banques, les arnaqueurs peuvent passer à l’action, à savoir payer des biens avec leurs iPhone sans avoir rien à débourser.
Le plus « drôle » dans cette histoire est qu’un volume important de transactions est passé depuis… les Apple Store. Se sont en effets des lieux qui acceptent l’Apple Pay et proposent des produits haut de gamme qui pourront facilement trouver preneur au marché noir. Et, au final, Apple cautionne, indirectement, une arnaque, tout en en bénéficiant.
Difficile d’évaluer le volume de transactions émises frauduleusement depuis la lancement d’Apple Pay en octobre dernier, les banques restant discrètes sur le sujet. Le fait que plus d’un million de clients JP Morgan Chase et 800 000 de Bank of America aient associé leurs cartes de paiement à un compte Apple iTunes peut tout juste donner une idée. Aux Etats-Unis, les pertes liées à la fraude par vol d’identité totalisaient 24,7 milliards de dollars en 2013. Dont les deux-tiers impliquent des paiements par carte bancaire. Les paiements frauduleux par Apple Pay ne représentent probablement qu’une goutte d’eau de cet océan d’argent volé. Mais les banques devraient rapidement être amenées à réviser leur mécanisme d’authentification des utilisateurs. Toujours est-il que, contrairement à la promesse émise, les transactions par mobile ne renforcent pour le moment pas la sécurité des paiements.
Lire également
Enquête : Le paiement mobile NFC sécurisé, vraiment ?
Des commerçants US débranchent Apple Pay et Google Wallet
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.