Des chercheurs britanniques ont découvert une faille dans Apple Pay qui permet aux pirates d’effectuer des paiements sans contact non autorisés à partir de votre iPhone. Les chercheurs de l’Université de Birmingham et de l’Université du Surrey ont publié jeudi un article décrivant la méthode par laquelle cette faille peut être exploitée. Les pirates peuvent même contourner l’écran de verrouillage d’un iPhone avec cette méthode.

Attention à cette faille de sécurité Apple Pay

La fonctionnalité Express Transit qu’Apple a introduite pour la première fois dans iOS 12.3 semble être la cause de la vulnérabilité. Avec Express Transit, vous pouvez payer rapidement vos trajets dans les transports en commun avec une carte dans l’application Wallet. Comme Apple le note sur cette page d’assistance, vous n’avez pas besoin de valider avec Face ID, Touch ID ou un mot de passe. Express Transit est censé être pratique, mais c’est aussi la clé de cet exploit.

Comme l’expliquent les chercheurs, les lecteurs de tickets transmettent une séquence non standard d’octets capables de contourner l’écran de verrouillage de l’iPhone. Ils les appellent « octets magiques » dans leur document de recherche. Cela permet à Express Transit (et à des fonctionnalités similaires sur d’autres appareils) de fonctionner. Apple Pay vérifie si toutes les conditions sont remplies et, si elles le sont, traite le paiement.

En imitant un lecteur de tickets, les chercheurs ont réussi à amener Apple Pay à traiter les paiements sans contact. Cela n’était possible qu’avec les cartes Visa, mais c’était incroyablement efficace. Les chercheurs disent qu’ils ont pu utiliser un lecteur de boutique EMV pour effectuer des paiements frauduleux de n’importe quel montant à partir d’un iPhone verrouillé. Ils ont testé jusqu’à 1 000 £, mais il n’y a peut-être pas de limite.

Apple et Visa travaillent-ils sur un correctif ?

Malheureusement, ni Apple ni Visa ne font quoi que ce soit pour corriger cette effrayante vulnérabilité. Voici ce que les chercheurs ont entendu des deux sociétés après les avoir informés de la faille :

Nous avons divulgué cette attaque à Apple et Visa et en avons discuté avec leurs équipes de sécurité. Apple a suggéré que la meilleure solution était que Visa mette en œuvre des contrôles de détection de fraude supplémentaires, en vérifiant explicitement les données d’application de l’émetteur (IAD) et le code de catégorie de marchand (MCC). Pendant ce temps, Visa a observé que le problème ne s’appliquait qu’à Apple (c’est-à-dire pas à Samsung Pay), et a donc suggéré qu’un correctif soit apporté à Apple Pay. Nous vérifions les solutions possibles d’Apple et de Visa à Tamarin et montrons que l’une ou l’autre limiterait l’impact du relais. Au moment de la rédaction de cet article, aucune des deux parties n’a implémenté de correctif, la vulnérabilité Apple Pay Visa reste donc active.

Vous pouvez en fait regarder les chercheurs exploiter la vulnérabilité dans cette vidéo partagée par The Telegraph :