Piratage : le couple PayPal / Google Pay dans la tourmente
Paypal, Google Pay, Hackers,
Sécurité : Des pirates ont
trouvé un bug dans l'intégration de PayPal à Google Pay. Avec cette
faille de sécurité, ils peuvent utiliser des comptes PayPal pour faire
des achats en ligne.
Depuis vendredi dernier, des utilisateurs déclarent avoir vu des
transactions mystérieuses apparaître dans leur historique PayPal,
provenant de Google Pay. Ces problèmes ont été signalés sur de
nombreuses plateformes : des forums PayPal, Reddit, Twitter, ainsi des
forums de support Google Pay russe et allemand.
Les victimes expliquent avoir remarqué des abus de leur compte Google
Pay sur des achats qui utilisent leur compte PayPal lié. D'après les
captures d'écran et divers témoignages, la plupart des transactions
illégales ont lieu dans des magasins américains, et notamment dans les
magasins Target. La plupart des victimes semblent être des utilisateurs
allemands. Les dommages sont estimés à plusieurs dizaines de milliers
d'euros. Certaines transactions dépassent 1 000 euros.
On ne sait pas encore très bien ce que ces pirates exploitent. PayPal
a indiqué à ZDNet qu'une enquête est en cours. Google n'a pas fait de
commentaire au moment où cet article est publié.
La théorie d'un chercheur en sécurité allemand
Sur Twitter,
un chercheur en sécurité allemand du nom de Markus Fenske a déclaré ce
mardi que les transactions illégales signalées ce week-end semblent être
liées à une faille de sécurité qu'il a signalé, avec son collègue
Andreas Mayer, en février 2019. PayPal n'avait alors pas jugé
prioritaire de la corriger. Markus Fenske a expliqué à ZDNet que le
problème vient du fait que lorsque vous liez un compte PayPal à un
compte Google Pay, PayPal crée une carte virtuelle, avec son propre
numéro de carte, sa date d'expiration et son code de sécurité. Lorsqu'un
utilisateur de Google Pay choisit d'effectuer un paiement sans contact
en utilisant les fonds de son compte PayPal, la transaction est facturée
via cette carte virtuelle.
« Si la carte virtuelle était verrouillée pour ne fonctionner que sur
les paiements en point de vente physique, il n'y aurait aucun problème.
Mais PayPal permet d'utiliser cette carte virtuelle pour les
transactions en ligne également », détaille-t-il à ZDNet lors d'une
interview. Il pense que les pirates ont trouvé un moyen de trouver les
informations de ces cartes virtuelles et qu'ils les utilisent pour
effectuer des transactions non autorisées en ligne.
Le chercheur explique qu'il peut y avoir trois façons d'obtenir les
informations d'une carte virtuelle. La première, c'est de les lire
depuis le téléphone/l'écran d'un utilisateur. La deuxième, en utilisant
un malware infectant l'appareil de la victime. Et la troisième, en les
devinant.
Dans ce dernier cas, « une attaque par force brute pour deviner le
numéro de la carte et la date de validité prendra environ un an, ce qui
fait un espace de recherche plutôt restreint », précise Markus Fenske.
Il ajoute que « le code de sécurité ne compte pas, n'importe lequel est
accepté ».
PayPal enquête
Malgré tout, Markus Fenske est le premier à dire que son collègue
Andreas Mayer ne font que des suppositions sur les réelles causes de
l'attaque – bien que les détails semblent bien correspondre au bug
qu'ils ont signalé l'an dernier.
D'un autre côté, le département de sécurité de PayPal a lancé une
enquête sur les transactions non autorisées dès que ZDNet les a contacté
il y a quelques heures. Les équipes envisagent plusieurs scénarios, et
ils ont pris en compte notamment celui de l'attaque décrite par les
chercheurs allemands, ainsi que leur rapport de février 2019.
« La sécurité des comptes de nos clients est une priorité absolue
dans notre entreprise », a affirmé un porte-parole de PayPal à ZDNet.
« Nous vérifions cette information et nous prendrons toutes les mesures
appropriées et nécessaires pour protéger davantage nos clients. »
Source : ZDNet.com
