Les cybercriminels pourraient effectuer des achats frauduleux en contournant l'écran de verrouillage Apple Pay d'un iPhone lorsque le portefeuille de l'appareil comporte une carte Visa configurée en mode dit de transit. Des chercheurs de l'Université de Birmingham et de l'Université du Surrey ont montré que les attaquants pouvaient également contourner la limite du sans contact pour effectuer des transactions illimitées à partir d'iPhones verrouillés.
L'article de recherche, intitulé Practical EMV Relay Protection, montre comment un attaquant pourrait abuser d'une combinaison de failles dans Apple Pay et Visa, expliquant que tout ce dont il aurait besoin pour mener une attaque est un iPhone volé et allumé. Les transactions illicites pourraient également être relayées même si l'appareil se trouve dans les bagages de la victime.
Lorsqu'il effectue un paiement via une application pour smartphone, l'utilisateur doit généralement authentifier la transaction à l'aide de l'une des fonctions d'authentification biométrique intégrées à l'iPhone, comme un scan d'empreinte digitale ou Face ID, ou en frappant un code PIN, ce qui réduit la menace d'attaques relais. Cependant, en mai 2019, Apple a introduit la fonctionnalité Express Transit/Travel qui permet d'utiliser Apple Pay sans déverrouiller le téléphone. La fonctionnalité a été introduite pour faciliter le paiement aux stations de barrière de billetterie de transport.
« Nous montrons que cette fonctionnalité peut être exploitée pour contourner l'écran de verrouillage d'Apple Pay, et payer illicitement depuis un iPhone verrouillé, à l'aide d'une carte Visa, vers n'importe quel lecteur EMV, pour n'importe quel montant, sans l'autorisation de l'utilisateur », explique l’article décrivant la méthode d'attaque.
L'attaque, classée comme une attaque par rejeu et relais de type Man-in-the-Middle (MitM), nécessite que l'iPhone ait une carte Visa configurée pour le paiement avec le mode Express Travel activé, et que la victime soit à proximité de l'attaquant. Pour réaliser leur test, les chercheurs ont utilisé un Proxmark qui a servi d'émulateur de lecteur, et un téléphone Android compatible NFC qui a été utilisé comme émulateur de carte pour communiquer avec le terminal de paiement.
VOUS AIMEREZ ÉGALEMENT : Quelle option de verrouillage de smartphone est la plus sécuritaire?
« L'attaque fonctionne en rejouant d'abord les Magic Bytes à l'iPhone, de sorte qu'il croit que la transaction a lieu avec un lecteur EMV de transport. Ensuite, lors de la transmission des messages EMV, les qualificateurs de transaction du terminal (TTQ), envoyés par le terminal EMV, doivent être modifiés de manière à ce que les bits (drapeaux) pour l'authentification des données hors ligne (ODA), les autorisations en ligne et le mode EMV soient activés », précisent les chercheurs.
Pour relayer les transactions qui dépassent la limite de paiement sans contact, les Card Transaction Qualifiers (CTQ) qui sont chargés de fixer les limites de transaction doivent être modifiés.
« Cela permet de tromper le lecteur EMV en lui faisant croire que l'authentification de l'utilisateur sur l'appareil a été effectuée (par exemple, par empreinte digitale). La valeur CTQ apparaît dans deux messages envoyés par l'iPhone et doit être modifiée dans les deux occurrences », expliquent les chercheurs. Au cours de leur test, l'équipe a pu effectuer une transaction de 1 000 £ (environ 1 400 $ US).
En utilisant une paire de téléphones Android équipés de la technologie NFC, l'équipe de recherche a également pu contourner le protocole de Visa utilisé pour stopper les attaques par relais pour les cartes de paiement.
Apple et Visa ont été informés de la faille de sécurité par les chercheurs et, bien que les deux sociétés aient reconnu la gravité de la vulnérabilité, elles n'ont pas encore trouvé d'accord sur celle qui doit déployer un correctif. Dans l'intervalle, il est conseillé aux utilisateurs de ne pas utiliser les cartes Visa en mode carte de transport lorsqu'ils utilisent Apple Pay.