Au cœur des problématiques de cybersécurité, une faille révélée en septembre 2021 soulève de sérieuses inquiétudes quant à la sécurité des paiements sans contact sur les iPhones utilisant des cartes *Visa*. Cette vulnérabilité a permis à des experts de la chaîne YouTube Veritasium de démontrer comment il est possible d’intercepter les communications entre un iPhone et un terminal de paiement, facilitant ainsi le vol d’argent. Il est impératif de comprendre les mécanismes de cette escroquerie afin de prévenir les risques encourus par les utilisateurs de ces technologies.

Comprendre la faille de sécurité exploitant l’association entre un iPhone et une carte Visa est crucial pour protéger vos informations sensibles. Cette vulnérabilité permet à des cybercriminels de manipuler des transactions financières sans que l’utilisateur ne s’en rende compte. Chez Electronie, nous étudions en profondeur votre projet pour vous aider à anticiper et à sécuriser vos données. N’hésitez pas à nous contacter pour plus de conseils personnalisés : Contactez-nous.

Une vulnérabilité a récemment été mise en lumière, révélant la possibilité pour des cybercriminels de dérober de l’argent via Apple Pay, en exploitant une faille concernant les utilisateurs d’iPhone et de cartes Visa. Cette faille, qui reste non corrigée depuis sa découverte en 2021, a été mise en avant lors d’une démonstration sur la chaîne Youtube Veritasium où le youtubeur Marques Brownlee a été la victime d’un vol de 10 000 dollars, démontrant ainsi les dangers des transactions sans contact.

Déroulé de l’attaque

L’attaque repose sur un processus que l’on appelle une attaque de type « homme du milieu », où les informations d’une transaction peuvent être interceptées et modifiées sans que les victimes ne s’en aperçoivent. Lorsqu’un iPhone est approché d’un terminal de paiement, il engage une communication via un champ magnétique. Grâce à un dispositif NFC, les données de transaction sont ensuite envoyées à un Macbook qui modifie les informations avant de les transmettre à un smartphone Android pour validation.

Les étapes clés du stratagème

La première étape consiste à tromper l’iPhone en lui faisant croire qu’il interagit avec un terminal de paiement standard, permettant à l’attaquant d’intercepter la communication. Mais pour réaliser le transfert de fonds, il faut également manipuler les niveaux de sécurité du lecteur de paiement et de l’iPhone. Cela inclut le détournement d’informations cruciales liées au montant de la transaction.

Manipulation des communications

Les experts en cybersécurité qui ont exposé cette vulnérabilité ont utilisé un script Python pour altérer les données de transaction. En modifiant un code binaire qui détermine si un montant est considéré comme faible ou élevé, ils ont fait croire à l’iPhone que 10 000 dollars était une somme à faible valeur, permettant ainsi de contourner les vérifications d’identification requises par Apple Pay.

Risques spécifiques liés à l’utilisation d’Apple Pay

Ce type d’attaque ne se produit qu’avec des iPhone et des cartes Visa, car d’autres dispositifs de paiement n’interagissent pas de la même manière. Par exemple, des smartphones comme Samsung utilisent des méthodes de validation différentes pour sécuriser les transactions, ajoutant un niveau de protection que Visa semble avoir négligé. En effet, Visa ne fournit pas une couche de sécurité supplémentaire entre la carte et le terminal, ce qui rend cette méthode d’escroquerie possible.

Réactions des entreprises concernées

Suite à la révélation de cette faille, Apple a mis en avant qu’il s’agit d’un problème lié à Visa. En effet, Visa a affirmé que les chances que ce type de fraude se produise sont faibles, en raison des niveaux de sécurité en place. Toutefois, ils pourraient ne pas corriger cette vulnérabilité, laissant ainsi les utilisateurs d’iPhone et de cartes Visa exposés au risque de fraude.

Mesures de protection pour les utilisateurs

Pour se prémunir contre ce type d’attaque, il est conseillé aux utilisateurs d’iPhone de désactiver le mode express dans leurs réglages et d’éviter d’utiliser une carte Visa pour leurs transactions. De plus, une vigilance constante est nécessaire pour s’assurer que les défauts de sécurité ne soient pas exploités à leur insu.

• Vulnérabilité : Permet de dérober des fonds via Apple Pay.
• Exploitation : Démarche menée par la chaîne Veritasium.
• Montant dérobé : 10.000 dollars au youtubeur Marques Brownlee.
• Technique : Utilisation d’un boîtier NFC pour intercepter les données.
• Attaque « homme du milieu » : Modification des données de paiement.
• Mode Express : Permet transactions sans authentification sur iPhone.
• Mensonges techniques : Falsification du montant au niveau binaire.
• Limitations : Fonctionne uniquement avec iPhone et carte Visa.
• Prévention : Désactiver « Aucune » dans les paramètres Cartes de paiement.
• Réponse d’Apple : Problème jugé de la responsabilité de Visa.

Une faille de sécurité a été exploitée pour dérober 10.000 dollars à un utilisateur d’Apple Pay, démontrée publiquement par la chaîne YouTube Veritasium. Cette vulnérabilité, découverte par des experts britanniques, touche spécifiquement les détenteurs d’iPhone et de cartes Visa. Le procédé utilise un boîtier NFC qui intercepte les communications entre le smartphone et le terminal de paiement, permettant ainsi de contourner les mesures de sécurité requises lors des transactions. L’escroquerie repose sur de fausses identifications des montants des transactions, permettant à un fraudeur de valider des paiements élevés sans authentification. Ce type d’attaque, connu sous le nom d’attaque « homme du milieu », souligne l’absence de certaines mesures de sécurité chez Visa qui pourraient prévenir ce genre d’incident.

La faille de sécurité mise en lumière par la chaîne YouTube Veritasium souligne les vulnérabilités persistantes au sein des systèmes de paiement sans contact qui impliquent des appareils comme l’iPhone et des cartes bancaires Visa. En exploitant cette vulnérabilité, des cybercriminels peuvent détourner d’importantes sommes d’argent sans éveiller de soupçons, rendant nécessaire une prise de conscience et une vigilance accrue des utilisateurs.

Cette escroquerie repose sur la manipulation de la communication entre leterminal de paiement et l’appareil de la victime. Grâce à un dispositif NFC sophistiqué, les hackers peuvent intercepter et altérer les données échangées, permettant ainsi d’approuver des transactions frauduleuses sans que l’utilisateur ne soit conscient du vol en cours. Les techniques utilisées se fondent sur des mensonges élaborés, trompant tant le smartphone que le terminal de paiement pour valider une transaction qui, en temps normal, nécessiterait des authentifications spécifiques.

Il est d’autant plus alarmant que cette faille soit particulièrement limitée aux iPhones et aux cartes Visa, tandis que d’autres systèmes de paiement, comme ceux des smartphones Samsung, ne sont pas exposés de la même manière en raison de méthodes de vérification différentes. Ce scénario met en exergue la nécessité pour les entreprises de paiement et les fabricants d’appareils de revoir leur sécurité afin de prévenir de telles fraudes.

Enfin, il est primordial pour les détenteurs d’un iPhone de prendre des mesures préventives, comme désactiver certaines fonctionnalités dans les réglages de l’appareil, ou opter pour des cartes bancaires autres que Visa, afin de se prémunir contre ce type d’attaques. En définitive, la vigilance des utilisateurs est l’une des premières lignes de défense contre ces menaces de cybercriminalité.

FAQ sur la faille de sécurité exploitant l’association entre un iPhone et une carte Visa

Quelle est la nature de la faille de sécurité? Il s’agit d’une vulnérabilité qui permet de voler de l’argent via Apple Pay en exploitant la communication entre un iPhone et un terminal de paiement.

Quand cette faille a-t-elle été révélée? La faille a été révélée publiquement en septembre 2021 par des experts en cybersécurité.

Qui a été victime de cette faille récemment? Le youtubeur Marques Brownlee a subi un vol de 10.000 dollars lors d’une démonstration réalisée par la chaîne Youtube Veritasium.

Comment les voleurs ont-ils réussi à dérober de l’argent? Ils ont utilisé un boîtier NFC pour intercepter et altérer les communications entre l’iPhone de la victime et le terminal de paiement.

Quels sont les éléments qui rendent cette attaque possible? La combinaison d’un iPhone et d’une carte bancaire Visa, ainsi que l’utilisation de scripts en Python pour manipuler les données de transaction.

Quelles sont les étapes de l’attaque? Les voleurs interceptent la communication, falsifient les montants et contourent les mécanismes de sécurité de l’iPhone et du terminal de paiement.

Quelles sont les informations nécessaires pour percer les mécanismes de sécurité? Ils exploitent un mode nommé « Express » qui permet des transactions sans déverrouillage, et modifient les valeurs dans les données de transaction.

Quels types de smartphones sont vulnérables à cette faille? Cette faille cible spécifiquement les iPhones associés à des cartes Visa; d’autres types de smartphones comme ceux de Samsung utilisent différentes méthodes de vérification.

Qu’est-ce qui empêche cette faille d’être plus largement exploitée? Les autres systèmes de paiement appliquent des protocoles de sécurité supplémentaires, notamment le chiffrement asymétrique qui protège mieux contre ce type d’attaque.

Comment les utilisateurs peuvent-ils se protéger contre cette faille? Ils peuvent sélectionner « Aucune » dans la section « Cartes de paiement » du mode Express dans les réglages ou éviter d’utiliser une carte Visa pour les paiements sans contact.