Les cybercriminels pourraient effectuer des paiements sans contact sans déverrouiller les smartphones, selon une étude menée par des chercheurs de l'université de Birmingham et du Surrey. Ces "pirates" pourraient en effet contourner l'écran de verrouillage Apple Pay d'un IPhone, dès lors que le portefeuille de l'appareil comporte une carte Visa configurée en mode de "transit". Ainsi, ils auraient la totale liberté de procéder à des achats frauduleux. Ces attaquants pourraient, dans le même temps, contourner le sans contact et effectuer des transactions illimitées, même avec un IPhone verrouillé.
L'utilisateur d'un smartphone, pour procéder à un paiement via une application, doit par exemple scanner son empreinte digitale ou Face ID, ou saisir son code PIN pour authentifier la transaction, ce qui réduit les risques d'attaques. Pour "faciliter le paiement aux stations de barrière de billetterie de transport", Apple a mis en place la fonctionnalité Express Transit/Travel, permettant d'utiliser Apple Pay sans déverrouiller le téléphone, en 2019.
"Nous montrons que cette fonctionnalité peut être exploitée pour contourner l’écran de verrouillage d’Apple Pay, et payer illicitement depuis un iPhone verrouillé, à l’aide d’une carte Visa, vers n’importe quel lecteur EMV, pour n’importe quel montant, sans l’autorisation de l’utilisateur" expliquent alors les chercheurs dans un article de recherche.
"L’attaque fonctionne"
Pour faire ce piratage, l'IPhone doit avoir une carte Visa configurée pour le paiement avec le mode Express Travel activé. La victime ne doit pas être loin, même si son téléphone se trouve dans son bagage. "L’attaque fonctionne en rejouant d’abord les Magic Bytes à l’iPhone, de sorte qu’il croit que la transaction a lieu avec un lecteur EMV de transport. Ensuite, lors de la transmission des messages EMV, les qualificateurs de transaction du terminal (TTQ), envoyés par le terminal EMV, doivent être modifiés de manière que les bits pour l’authentification des données hors ligne (ODA), les autorisations en ligne et le mode EMV soient activés" détaillent les chercheurs.
La limite du paiement sans contact pourrait elle aussi être détournée, car à une modification des Card Transaction Qualifiers (CTQ). "Cela permet de tromper le lecteur EMV en lui faisant croire que l’authentification de l’utilisateur sur l’appareil a été effectuée (par exemple, par empreinte digitale). La valeur CTQ apparaît dans deux messages envoyés par l’iPhone et doit être modifiée dans les deux occurrences". Ainsi, lors de leur teste, les chercheurs ont pu effectuer une transaction de 1 000 livres, soit environ 1 180 euros.