La rapidité à laquelle grandit le réseau Apple Pay ne profite apparemment pas qu'à la firme de Cupertino. Certains réseaux de malfrats se seraient en effet déjà spécialisés dans un système de fraude basé sur le système d'Apple.
Si au moment de la transaction, la vérification de l'empreinte digitale est sans conteste largement plus sécurisée que la saisie d'un code secret, la vérification au moment de l'ajout des cartes bancaires dans son portefeuille numérique serait en revanche le maillon faible de la chaîne.
La méthode employée, qui consiste à ajouter les données d'une carte de crédit volée afin d'utiliser son pendant numérique sans éveiller les soupçons avait d'ailleurs déjà fait parler d'elle il y a quelques semaines, dans une étude mettant justement en lumière un taux anormalement élevé de fraudes sur Apple Pay.
Désormais, les voleurs ayant recours à ces technique semblent avoir trouvé une nouvelle cible de prédilection, et comble de l'ironie, il s'agit précisément des Apple Store, où les transactions Apple Pay sont légion et où l'on peut acheter facilement du matériel valant plusieurs milliers d'euros, lequel s'échangera ensuite très rapidement contre du cash.
En début de semaine, The Guardian révélait ainsi que ces fraudes à la carte dématérialisée s'élevaient déjà à plusieurs millions de dollars, une somme relativement conséquente quand on sait que le total des paiements mobiles est estimé à environ 5 milliards de dollars pour l'année 2015.
Pour parvenir à duper Apple Pay, les pirates profiteraient en fait de la vérification parfois trop laxiste de certaines banques. Sur ses pages de support, Apple précise que lors de l'ajout d'une carte bancaire à Passbook, les données sont chiffrées puis envoyées à l'établissement correspondant, avec les informations relatives au compte iTunes et à l'appareil utilisé, comme la géo-localisation du téléphone ou le nombre de paiements réalisés avec le compte iTunes. Les banques américaines utiliseraient alors ces données pour donner un green path, permettant l'ajout immédiat de la carte, ou un yellow path si des informations complémentaires sont nécessaires.
La faille se situerait précisément à cet endroit. Pour valider l'identité du porteur de la carte, les établissements bancaires se contenteraient en effet généralement des quatre derniers chiffres du numéro de sécurité sociale du propriétaire de la carte, or ces informations circulent souvent sur les réseaux de cybercriminalité, et ne représenteraient pas une barrière suffisante pour éviter les fraudes. Dans d'autres cas, les voleurs appelleraient eux-même les banques afin de les avertir d'un déplacement à venir, afin d'éviter que la géo-localisation bloque le processus, si la banque venait à remarquer que la carte à été ajoutée dans une ville différente de celle où réside son propriétaire.
Espérons que cette nouvelle affaire encourage Apple à travailler avec les banques à l'élaboration d'un yellow path plus sécurisé. Dave Birch, un expert britannique en paiements mobiles, a de son côté expliqué que la procédure devrait être renforcée au Royaume-Uni lors du lancement d'Apple Pay, en supprimant le concept du green path et en demandant ainsi à chaque client de valider son identité auprès de sa banque lors de l'ajout d'une nouvelle carte.
