Les chercheurs en sécurité ont annoncé aujourd’hui des découvertes concernant une vulnérabilité avec les cartes Visa, en particulier lorsqu’une carte Visa est définie comme carte par défaut pour Express Transit dans Apple Pay sur l’iPhone (cette fonctionnalité est nommée Express Travel au Royaume-Uni).

La démo partagée par The Telegraph a montré qu’un pirate informatique pouvait tromper le système sans contact pour effectuer des transactions arbitraires et donc voler de l’argent sur un iPhone verrouillé, en supposant qu’il ait la possession physique de l’appareil.

Apple Pay Express Transit permet de réaliser des transactions sans contact avec des transports en commun comme le métro de Londres sans aucune authentification Face ID ou Touch ID, pour gagner du temps lors des entrées et sorties aux portes des trains. L’absence d’authentification est considérée comme acceptable car le montant maximal de la transaction pour le transit est faible et il existe un plafond quotidien.

Cependant, ces chercheurs en sécurité ont montré qu’un pirate informatique malveillant peut créer un terminal de paiement factice qui imite le comportement d’un terminal de transport public, permettant à la carte Apple Pay Express Transit de s’activer mais sans apparemment aucun plafond sur le montant. Ainsi, les chercheurs ont pu effectuer une transaction de 1 000 £ sur l’iPhone verrouillé, sans aucune authentification requise.

Apple a déclaré que la faute réside dans le système de Visa et que tout paiement non autorisé est couvert par la politique de responsabilité zéro de Visa. Visa a déclaré que « des variantes de schémas de fraude sans contact ont été étudiées en laboratoire depuis plus d’une décennie et se sont avérées peu pratiques à exécuter à grande échelle dans le monde réel ».

L’exploit est spécifique aux cartes Visa. Apple Pay Express Transit associé à des cartes Mastercard ou American Express ne sont pas vulnérables.

FTC : Nous utilisons des liens d’affiliation automatique qui génèrent des revenus. Suite.

Découvrez . sur YouTube pour plus d’actualités Apple :