Stocker votre carte d’entreprise sur un iPhone ? Euh-oh

Apple et Google (et en particulier Visa) nous ont donné la semaine dernière un autre exemple de la façon dont la sécurité et la commodité sont souvent en contradiction les uns avec les autres. Et on dirait qu’ils ont opté pour la commodité.

Les derniers numéros ne concernent qu’un sous-ensemble d’utilisateurs d’iPhone et d’Android, en particulier ceux qui utilisent leur téléphone pour les paiements en transports en commun. Si vous pensez au fonctionnement des métros dans une grande ville (je vais utiliser New York comme exemple), ils nécessitent une vitesse extrême. Utiliser la reconnaissance faciale ou saisir un code PIN juste avant de payer pour monter dans le métro ralentirait considérablement la file d’attente.

Au lieu de permettre l’authentification plus tôt – disons, peut-être dans les cinq minutes suivant une transaction – ou en accélérant le processus à une fraction de seconde, Apple, Google et Visa ont apparemment choisi de renoncer à toute authentification significative. (Remarque : je me concentre sur Visa car le trou existe toujours pour cela. MasterCard et d’autres ont déjà corrigé la faille.)

Chercheurs en sécurité à Technologies positives testé les téléphones et trouvé le problème.

« Les failles permettent aux attaquants d’effectuer des achats illimités à l’aide de smartphones volés avec des systèmes de transport express activés qui ne nécessitent pas de déverrouiller l’appareil pour effectuer un paiement » Positif dit dans un communiqué. «Jusqu’en juin 2021, les achats pouvaient être effectués dans n’importe quel terminal PoS, pas seulement dans les transports publics. Sur les iPhones, les paiements peuvent être effectués même si la batterie du téléphone est vide. Avant 2019, Apple Pay et Samsung Pay n’autorisaient les paiements que si le téléphone était déverrouillé avec une empreinte digitale, un identifiant facial ou un code PIN. Mais aujourd’hui, c’est devenu possible en utilisant les transports en commun ou le mode Express Transit d’Apple.

Timur Yunosov, un chercheur positif, a déclaré dans un interview que le risque existe toujours, mais varie en fonction de la combinaison de la marque de la carte de paiement (Visa, MasterCard, American Express, etc.) et du type d’appareil.

« Si vous utilisez une carte Visa sur Apple Pay, n’importe qui peut prendre votre téléphone, même non chargé, aller dans un magasin de luxe et acheter quelque chose avec votre téléphone. Avant juin 2021, la même chose aurait pu se produire avec la paire Samsung Pay/MasterCard », a déclaré Yunosov, qui s’est exprimé la semaine dernière à Chapeau noir Europe. « Mais à un moment donné, ils ont résolu le problème en silence. Google Pay est le plus à risque. Si le NFC est activé, quelqu’un pourrait même cloner votre carte MasterCard dans un court laps de temps et l’utiliser plus tard pour acheter des biens. Même après toutes les modifications apportées par MasterCard, il existe toujours une possibilité de fraude contre les portefeuilles mobiles perdus (Apple, Samsung, Visa, MasterCard, AMEX), bien que cela nécessite un équipement spécial, tel qu’un point de vente modifié ou un accès direct au flux de transaction. « 

Étant donné qu’il s’agit d’appareils volés, cela soulève une question informatique difficile. Pour de nombreuses entreprises, le protocole informatique standard lorsqu’un appareil est étiqueté « probablement volé » consiste à l’effacer à distance, éliminant théoriquement tout risque supplémentaire. Mais cela peut ne pas fonctionner si le téléphone n’est pas connecté à Internet, est éteint ou a une batterie à plat.

« Si le téléphone n’est pas chargé, il est toujours possible de l’utiliser pour s’identifier. Ainsi, les informations ne seraient pas effacées de l’appareil. Cela dépend également si les mécanismes d’effacement incluent la suppression d’enregistrements des systèmes de sécurité (par exemple, une base de données d’appareils appartenant aux employés), ce serait sécurisé », dit Yunosov. « Sinon, cela pourrait mettre tout le système en danger. Jusqu’à ce que nous voyions ces systèmes être mis en œuvre dans les grandes entreprises, tout cela n’est que spéculation. »

Il y a de bonnes nouvelles – quoique temporairement, en théorie. Les autres données sensibles sur le téléphone ne devraient pas être en danger. Et si c’est le cas, un effacement à distance devrait résoudre le problème, en supposant qu’une connexion d’effacement à distance appropriée puisse être établie.

Mais, comme l’a souligné Yunosov, ce défaut peut s’aggraver. Apple prépare une série de nouveaux « services à valeur ajoutée », tels que des moyens d’accéder à des bâtiments sécurisés. Pour plus de rapidité et de commodité, il peut également utiliser le même processus en place pour les paiements de transit. Cela augmente l’univers des victimes potentielles.

Autre problème clé : que se passe-t-il si un voleur effectue effectivement des achats frauduleux à l’aide du téléphone ? Prouver que les charges sont frauduleuses peut être délicat. « Il serait extrêmement difficile de prouver à votre banque émettrice que vous n’avez pas payé pour ces choses et que le téléphone n’a pas été déverrouillé avec votre empreinte digitale ou votre code PIN », a déclaré Yunosov.

Certaines victimes force soyez chanceux s’il y a une caméra de sécurité qui filme la personne effectuant l’achat ou si la victime peut prouver qu’elle était ailleurs au moment du vol.

Il semble qu’Apple puisse tirer parti de l’Apple Watch ici. Et si votre Apple Watch notait constamment à quelle distance elle se trouvait de l’iPhone ? Et si, à une distance prédéterminée, la montre permettait à l’utilisateur de désactiver le téléphone, de manière temporaire ou définitive ? Il est important de donner à un utilisateur la possibilité de désactiver temporairement ; c’est là que la différence entre un téléphone perdu et un téléphone volé entre en jeu.

La montre pourrait également indiquer à l’utilisateur exactement où le téléphone semble être – ou du moins où il se trouvait lors de sa dernière détection. Ces informations aideraient l’utilisateur à déterminer si le téléphone est simplement égaré ou s’il a probablement été volé.

À tout le moins, Apple, Google et les institutions financières doivent se rappeler que la commodité ne doit pas se faire au détriment de la sécurité. Parce que ralentir la ligne de métro peut être gênant, mais faire face à la fraude et au vol est pire.