Actualités

Apple Pay : mise en lumière d’une attaque MitM impactant les paiements sans contact sous Visa ! (mode Transport en dérapage…)

Depuis théoriquement Mai 2019, une vulnérabilité au sein des paiements Apple Pay Express Transit (Transit Travel pour l’Europe voire Transport Card concernant Samsung Pay) aurait permis à des cyber-attaquants d’aspirer le compte en banque de certains consommateurs. PoC relevant essentiellement un exploit potentiel via les CBs Visa, il dévoile, selon le gestionnaire-carte, un exploit partiellement (Mastercard) ou totalement viable (Visa) et exclusivement sous Apple Pay ; Samsung Pay ne semblant pas concerné.

 

 

Nous avons constaté qu’en rejouant les octets magiques sur un iPhone, Apple Pay déverrouillerait et nous permettrait de démarrer une transaction pour Mastercard et Visa, même si aucune authentification (PIN, FaceID ou TouchID) a eu lieu […] nous pouvions relayer des transactions entre un iPhone verrouillé et l’un de nos magasins lecteurs (ndlr : de carte), ce qui permettait, par conséquent, à l’attaquant, de prendre en mode sans-fil l’argent de poche du propriétaire de l’iPhone. L’attaque peut aussi être utilisé pour extraire de l’argent d’un iPhone volé et verrouillé“, indique les chercheurs des Universités anglaises de Birmingham et de Surrey. Le PoC a été opéré sur les cartes bancaires EMVs (Europay, Mastercard, Visa) mais il semble, à sa décharge, que la tentative d’exploit à l’encontre de Mastercard soit atténué par certaines mesures alors inexistantes, au moment du PoC, du côté de Visa : du fait que le Merchant Category Code (MCC) soit authentifié au sein du protocole, il est possible, pour un cyber-attaquant initié, de “relayer les transactions” en détournant la destination légitime, par exemple, vers un lecteur-carte illégitime, “bien que d’autres lecteurs de transit soient possibles“.

 

En finalité, l’exploit conduit à une attaque de type Man-in-the-Middle (MitM) : contrairement à Visa, certains marqueurs au niveau du champ CDCVM permettent de déceler, pour des yeux avertis ou observateurs, certains nombres (bits) au niveau de l’IAD (Issuer Application Data) avec les chiffres 5 et 7 qui se suivaient (qui correspondent au CVR, Card Verification Result) et qui pointaient vers une “seconde génération AC” (Application Cryptogram) ainsi que le type de l’AC qui était renouvelé ou retourné. Les octets (illustrés ci-dessus en rouge) permettent d’identifier l’usage ou non (aboutissement, nature) de la transaction, ce qui, fonctionnellement, laissait une trace en back-end pour l’ensemble des EMVs avec, potentiellement, le terminal associé à ladite transaction… “Visa a confirmé cela et que ces octets étaient dans l’AC, mais Visa ne les vérifie pas“, indiquent les chercheurs qui, en atténuation et pour ce problème-ci, ont proposé une vérification “par rapport à la valeur de l’AC” pour permettre de contrôler une transaction sans contact.

 

En solution, les chercheurs préconisent un nouveau protocole plus renforcé et,
nommé L1RP.

 

Bien que le mode Transport d’Apple Pay supporte actuellement un système reposant sur des “paiements non-nuls“, il est préconisé de changer le plafond des transactions à une valeur “faible ou nulle“, pour limiter les exploits avec un montant potentiellement conséquent. Contacté par les chercheurs sur ce point, Visa a renvoyé la balle vers Apple qui estime qu’il s’agit, à ce niveau, de leur problème et que, dans le pire des cas, des “alertes anti-fraudes” permettraient de juguler l’affaire, même si, sur le vif, outre la panique, ce sera le consommateur qui sera lésé. Dans l’urgence et dans l’attente d’un correctif de la part d’Apple et / ou Visa (étant donné que les deux acteurs sont concernés), le mieux, selon les universitaires-chercheurs, est de désactiver le mode Transport ou Transit (les paiements sans authentification sous Apple Pay pour valider un paiement de ticket de bus, de métro, par exemple). Un PoC plus fournie sera présenté lors du IEEE Symposium 2022, entre le 22 et 26 Mai prochain… A veiller !

 

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.4a