Passer au contenu

Apple Pay à l’origine d’une fraude massive aux Etats-Unis

Des cybercriminels ont réalisé de faux achats à hauteur de plusieurs millions de dollars en utilisant des données bancaires volées. La faille se situe au niveau des banques, dont les vérifications d’identité sont trop sommaires.

Les paiements par Apple Pay, sont-ils vraiment « plus sécurisés », comme l’affirme le fournisseur californien sur son site web ? Les cybercriminels américains, en tous les cas, ont déjà trouvé une faille dans le nouveau système : les banques. Quand un utilisateur enregistre une carte bancaire dans Apple Pay, la banque n’est censée activer le moyen de paiement qu’après être certain que l’utilisateur Apple correspond bien au client bancaire.

Or, cette vérification n’est visiblement pas efficace, car des fraudeurs ont réussi à effectuer des achats à hauteur de plusieurs millions de dollars en utilisant des informations bancaires volées, d’après The Guardian. Le comble, c’est qu’une bonne partie de ces achats ont été effectués dans… des Apple Store. Ce n’est pas très étonnant, car les fraudeurs ont ciblé des commerces qui acceptent Apple Pay et qui vendent des biens de luxe, et les Apple Store répondent aux deux critères.

Comment est-ce possible ? Lorsqu’on enregistre une carte bancaire dans Apple Pay, la firme de Cupertino procède à une première vérification : Le compte Apple est-il récent ou a été modifié récemment ? L’utilisateur est-il resté inactif pendant longtemps ? La carte bancaire n’a-t-elle été associée au compte que depuis peu de temps ? etc. Si Apple ne détecte aucune anomalie, la banque active automatiquement la carte dans Apple Pay (procédure « Green Path »). Dans le cas inverse, elle est censée procéder à des vérifications supplémentaires (procédure « Yellow Path »).  Et c’est là que le bât blesse.

Plusieurs millions d’activations

Souvent, les banques se contentent de relever, au travers d’un call center, le numéro sécurité sociale, alors que c’est également une donnée qui est fréquemment échangée dans les forums cybercriminels. Par ailleurs, les fraudeurs n’hésitent pas non plus à contacter directement le call center d’une banque pour la prévenir d’un « déplacement » à venir. Ce qui leur permet d’activer la carte dans un endroit qui ne correspond pas au lieu de résidence renseigné. Enfin, certaines banques semblent être prises de court par les nombreuses demandes d’activation (plus d’un million chez JP Morgan Chase et 1,1 million chez Bank of America). Bref, toute cette étape de vérification « Yellow Path » n’est visiblement pas à la hauteur de l’enjeu, et les fraudeurs l’ont bien compris.

Apple, pour sa part, estime être hors de cause, dans la mesure où ces fraudes ne s’appuient pas sur une faille dans Apple Pay. Mais l’argument est quand même un peu facile. Le blogueur Cherian Abraham estime qu’Apple et ses partenaires bancaires sont allés trop vite en besogne et n’ont pas suffisamment mesuré le risque lié à ces vérifications.

Lire aussi :

MWC 2015 : Samsung Pay, l’offre de paiement universelle qui veut ruiner Apple Pay, le 02/03/2015

Sources :

The Guardian, Cherian Abraham 

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn