Des cybercriminels ont réalisé de faux achats à hauteur de plusieurs millions de dollars en utilisant des données bancaires volées. La faille se situe au niveau des banques, dont les vérifications d’identité sont trop sommaires.
Les paiements par Apple Pay, sont-ils vraiment « plus sécurisés »,
comme l’affirme le fournisseur californien sur son site web ? Les
cybercriminels américains, en tous les cas, ont déjà trouvé une faille
dans le nouveau système : les banques. Quand un utilisateur enregistre
une carte bancaire dans Apple Pay, la banque n’est censée activer le
moyen de paiement qu’après être certain que l’utilisateur Apple
correspond bien au client bancaire.
Or, cette vérification n’est visiblement
pas efficace, car des fraudeurs ont réussi à effectuer des achats à
hauteur de plusieurs millions de dollars en utilisant des informations
bancaires volées, d’après The Guardian. Le comble, c’est qu’une
bonne partie de ces achats ont été effectués dans... des Apple Store.
Ce n’est pas très étonnant, car les fraudeurs ont ciblé des commerces
qui acceptent Apple Pay et qui vendent des biens de luxe, et les Apple
Store répondent aux deux critères.
Comment est-ce possible ? Lorsqu’on
enregistre une carte bancaire dans Apple Pay, la firme de Cupertino
procède à une première vérification : Le compte Apple est-il récent ou a
été modifié récemment ? L’utilisateur est-il resté inactif pendant
longtemps ? La carte bancaire n’a-t-elle été associée au compte que
depuis peu de temps ? etc. Si Apple ne détecte aucune anomalie, la
banque active automatiquement la carte dans Apple Pay (procédure « Green
Path »). Dans le cas inverse, elle est censée procéder à des
vérifications supplémentaires (procédure « Yellow Path »). Et c’est là
que le bât blesse.
Plusieurs millions d’activations
Souvent,
les banques se contentent de relever, au travers d’un call center, le
numéro sécurité sociale, alors que c’est également une donnée qui est
fréquemment échangée dans les forums cybercriminels. Par ailleurs, les
fraudeurs n’hésitent pas non plus à contacter directement le call center
d’une banque pour la prévenir d’un « déplacement » à venir. Ce qui leur
permet d’activer la carte dans un endroit qui ne correspond pas au lieu
de résidence renseigné. Enfin, certaines banques semblent être prises
de court par les nombreuses demandes d’activation (plus d’un million
chez JP Morgan Chase et 1,1 million chez Bank of America). Bref, toute
cette étape de vérification « Yellow Path » n’est visiblement pas à la
hauteur de l’enjeu, et les fraudeurs l’ont bien compris.
Apple, pour sa part, estime être hors de
cause, dans la mesure où ces fraudes ne s’appuient pas sur une faille
dans Apple Pay. Mais l’argument est quand même un peu facile. Le
blogueur Cherian Abraham estime qu’Apple et ses partenaires bancaires
sont allés trop vite en besogne et n’ont pas suffisamment mesuré le
risque lié à ces vérifications.
Lire aussi :
Aucun commentaire:
Publier un commentaire