Une faille révélée publiquement en septembre 2021 a été exploitée par l’équipe de la chaîne Youtube Veritasium pour dérober 10.000 dollars au youtubeur Marques Brownlee via Apple Pay. Une vulnérabilité qui concerne les détenteurs d’un iPhone et d’une carte Visa.

Vider le compte bancaire via Apple Pay. Cela paraît impossible et pourtant, une faille permet de le faire depuis plus de quatre ans. Découverte par Ioana Boureanu et Tom Chothia, experts en cybersécurité basés au Royaume-Uni, elle a été révélée publiquement en septembre 2021. N’ayant toujours pas été corrigée, elle a permis en janvier dernier de dérober 10.000 dollars au youtubeur tech Marques Brownlee dans le cadre d’une démonstration. La vidéo de cet exploit a été mise en ligne il y a quelques jours seulement.

Pour sa démonstration, la chaîne Youtube Veritasium a donc invité le célèbre vidéaste tech américain. Les premières minutes de la vidéo le montre aux côtés du présentateur, Henry van Dyck, qui lui demande de poser son iPhone sur un boîtier relié à un Macbook. À partir de là, il approche un smartphone Android d’un terminal de paiement pour une transaction de cinq dollars… qui est traitée et approuvée par Apple Pay comme si elle provenait de l’iPhone du youtubeur, qui est resté verrouillé sur le lecteur sans-fil sans que qui que soit y touche.

Le présentateur passe ensuite aux choses sérieuses et parvient, par le même procédé, à lui subtiliser 10.000 dollars. La seule limite à ce stratagème, c’est le montant dont la victime dispose sur son compte bancaire, souligne Tom Chothia dans la vidéo. Mais comment cette arnaque fonctionne-t-elle?

Communication interceptée

Pour tout comprendre à cette escroquerie, il faut d’abord s’intéresser au fonctionnement du paiement sans contact. Lorsqu’une personne approche son iPhone d’un terminal de paiement, les deux appareils échangent des informations concernant la transaction en question via un champ magnétique partagé. Communication qu’il est possible d’intercepter et d’altérer.

C’est là que le dispositif sur lequel Marques Brownlee a posé son iPhone entre en jeu. Il s’agit d’un boîtier NFC appelé Proxmark, que le smartphone considère comme un terminal de paiement classique. Il transmet alors les données de transaction au boîtier, que celui-ci envoie ensuite au Macbook de Veritasium.

Cet ordinateur portable est utilisé par la chaîne Youtube pour altérer ces informations, via un script (ensemble d’instructions, NDLR) rédigé en Python, un langage de programmation populaire. Une fois modifiées, elles sont transmises au smartphone Android, qu’il suffit de poser sur le lecteur. Pensant qu’il s’agit de l’iPhone du youtubeur, le terminal valide alors la transaction.

C’est ce qu’on appelle une attaque de type « homme du milieu »: un cybercriminel intercepte les communications entre deux cibles en ligne pour dérober des informations sensibles et les altérer, sans que les victimes ne s’en aperçoivent. L’iPhone de Marques Brownlee et le terminal de paiement pensent ainsi interagir directement l’un avec l’autre, alors que ce n’est pas le cas.

Mentir pour contourner les couches de sécurité

Mais ce n’est que la première étape de cette arnaque, qui est aussi la plus simple, souligne Henry Van Dyck. Pour parvenir à vider le compte bancaire de la victime, il faut ensuite passer outre les couches de sécurité du smartphone et du lecteur de paiement à l’aide de trois mensonges.

Les deux premiers concernent l’iPhone. Pour rappel, l’utilisation d’Apple Pay requiert d’appuyer deux fois sur le bouton de verrouillage et une authentification via Face ID ou Touch ID. Pour détourner ce mécanisme de sécurité, l’équipe de Veritasium s’est servie d’un mode introduit dans l’application Cartes d’Apple en 2019. Baptisé mode Express, il permet de valider son titre de transport sans avoir à déverrouiller son appareil ou à s’authentifier.

Pour cela, le lecteur du tourniquet envoie un signal indiquant à l’iPhone qu’il s’agit d’un terminal dédié au paiement d’un titre de transport. Si en Ile-de-France, il est possible de mettre son passe Navigo sur son smartphone, d’autres villes comme Londres permettent aussi de payer directement avec sa carte bancaire au niveau des tourniquets. une note importante dans le cadre de ce stratagème.

Une fois le signal diffusé par le lecteur, l’iPhone cherche la carte correspondante dans l’application Cartes pour valider l’achat d’un titre de transport sans déverrouillage. Les deux experts en cybersécurité, Ioana Boureanu et Tom Chothia, sont allés dans le métro londonien pour analyser ce signal et le reproduire, via le boîtier Proxmark.

Convaincre l’iPhone et le terminal de paiement

Le smartphone de Marques Brownlee pense donc interagir avec un terminal dédié au paiement de titres de transport. Le problème, c’est qu’il est normal qu’un lecteur de tourniquet demande un petit montant comme cinq dollars, mais pas 10.000. La deuxième étape consiste ainsi à mentir sur la somme d’argent, pour ne pas se retrouver bloqué face à une demande d’identification du client.

Comme le rappelle Henry Van Dyck, les montants sont séparés en deux catégories pour le paiement sans contact, à savoir valeur faible et valeur élevée. Là où la première ne requiert pas d’identification, la seconde exige une authentification par code PIN, lecteur d’empreintes ou reconnaissance faciale.

L’équipe de Veritasium a donc convaincu l’iPhone que 10.000 dollars était une valeur faible. Pour comprendre comment elle y est parvenue, il faut rappeler qu’un smartphone d’Apple détermine cette valeur à l’aide d’un élément d’information dans les données de transaction, qui se présentent sous la forme d’un code binaire.

Dans cette suite de 0 et de 1, un chiffre lui indique s’il fait face à une valeur faible (0) ou élevée (1). Un système qui paraît trop simple, mais qui a été mis en place pour gérer les différences de seuil au-delà duquel une somme est considérée comme élevée d’un pays à l’autre.

À l’aide du script en Python, l’équipe de Veritasium a changé le 1 en 0 pour faire croire à l’iPhone que le montant de la transaction était faible, afin qu’il approuve la transaction sans identification.

Le smartphone étant désormais convaincu de réaliser le paiement, il faut alors persuader le terminal. C’est là qu’intervient le troisième et dernier mensonge, car dans les informations que le premier envoie au lecteur, il inclut le donnée que la transaction n’a pas été vérifiée.

Le lecteur est ainsi censé refuser ce paiement de 10.000 dollars. Ayant intercepté le signal qui contient les communications entre les deux appareils, Veritasium s’est une nouvelle fois servi du script en Python pour changer le code binaire. Ainsi, le 0 indiquant que l’opération n’a pas été vérifiée est remplacée par un 1 pour suggérer le contraire. C’est tout ce qu’il faut pour que le terminal transmette les données de transaction à la banque, qui autorise alors le paiement.

Une faille limitée aux iPhone et cartes Visa

Si ce stratagème peut en inquiéter plus d’un, Henry Van Dyck rappelle qu’il ne peut se produire qu’avec un iPhone et une carte bancaire Visa. Car les autres smartphones procèdent différemment pour valider des opérations. Un téléphone Samsung regarde par exemple la valeur numérique de la transaction et non le chiffre dans le code binaire indiquant s’il s’agit d’une valeur faible ou élevée.

Face à un terminal dédié au paiement d’un titre de transport, il s’appuie également sur le nombre de fois où l’utilisateur a pris le métro au cours d’une journée pour ensuite lui envoyer la facture à la fin de la journée.

Concernant Visa, le problème vient du fait que contrairement à Mastercard, l’entreprise n’inclut pas une couche de sécurité supplémentaire, entre la carte bancaire et le terminal de paiement et qui permet de contrecarrer ce type d’attaque.

C’est ce qu’on appelle le chiffrement asymétrique, qui consiste en l’utilisation de deux clés pour chiffrer et déchiffrer les données de transaction. Concrètement, lors d’un paiement sans contact, le lecteur envoie des informations à la carte, qui se sert alors de sa clé privée pour les altérer. Elle en fait une signature numérique , qu’elle envoie au terminal avec une clé publique permettant à celui-ci de vérifier que la signature provient bel et bien de cette carte et pour cette transaction spécifique. Une vérification que Visa n’exige que dans certains cas.

Contacté par l’équipe de Veritasium au sujet de la faille, Apple a de nouveau rejeté la faute sur la société spécialisée dans les paiements électroniques.

« Nous prenons très au sérieux toute menace pesant sur la sécurité des utilisateurs. Il s’agit d’un problème concernant le système Visa, mais Visa estime que ce type de fraude a peu de chances de se produire dans la réalité, compte tenu des multiples niveaux de sécurité mis en place », a argué le géant américain.

L’entreprise gérant l’un des plus grands réseaux de paiement électronique au monde mise en effet sur ces niveaux de sécurité et des contrôles d’autorisation en temps réel pour détecter, identifier et bloquer les transactions suspectes.

« Si des démonstrations de fraude par relais en mode transport peuvent fonctionner dans des conditions très contrôlées, elles ne reflètent pas la manière dont la fraude se manifeste à grande échelle dans le monde réel: les fraudeurs privilégient des méthodes reproductibles et scalables, ce qui rend ces scénarios peu probables en dehors de cas très spécifiques », affirme Visa à BFM Tech.

Elle précise en outre que grâce à sa politique « Zéro Responsabilité », les consommateurs sont protégés contre la fraude. Celle-ci garantit « que les détenteurs de carte ne sont pas tenus responsables des frais non autorisés », peut-on lire sur son site.

Ces déclarations suggèrent que l’entreprise ne prévoit pas de corriger la faille. Heureusement, il est possible d’empêcher les cybercriminels de l’exploiter pour voler votre argent. Vous pouvez sélectionner « Aucune » dans la section « Cartes de paiement » du mode Express, dans les réglages. Ou assurez-vous qu’il ne s’agit pas d’une carte Visa. Et la prudence est de mise à ce sujet car ce mode s’active par défaut lorsque « vous ajoutez une carte de transport éligible ou toute autre carte (…) dans l’app Cartes d’Apple », précise le groupe de Tim Cook sur une page dédiée.