Apple Pay au coeur d’une affaire de fraude bancaire
Les banques américaines font face à des fraudeurs qui exploitent le processus d’association des cartes de crédit au système de paiement mobile Apple Pay.
Plusieurs transactions frauduleuses réalisées à Dallas (Texas) et à Miami (Floride) ont mis la puce à l’oreille des banques américaines : on est parvenu à contourner les mesures de sécurité liées au système de paiement mobile Apple Pay.
L’inquiétude montait depuis quelques semaines chez les acteurs de la finance, qui reconnaissent aujourd’hui avoir été « pris par surprise ». Les pertes s’élèveraient déjà à plusieurs millions de dollars, selon les témoignages de sources industrielles dites « proches du dossier » par le Guardian.
Des sommes d’autant plus importantes qu’au dernier pointage officiel, pas moins deux millions d’Américains ont adopté Apple Pay, dont un million de clients de JP Morgan Chase et 800 000 chez Bank of America.
Les fraudeurs ne s’en sont pas pris directement au système de paiement mobile, resté inviolé dans l’absolu : ils ont repéré des failles dans le processus d’association des cartes bancaires.
Cette étape est indispensable pour pouvoir utiliser Apple Pay. Dans environ 60 % des cas, elle se déroule sans intervention de la banque : c’est la procédure du « Green Path ». Les autres demandes sont redirigées sur le « Yellow Path ». Une démarche enclenchée lorsqu’Apple n’est pas certain que le propriétaire du téléphone est bien le porteur de la carte.
La firme envoie alors à la banque concernée des informations nominatives, ainsi que diverses données contextuelles comme le nom de l’appareil, sa localisation et éventuellement l’historique des transactions effectuées sur iTunes.
Deux choix se présentent alors à la banque : soit refuser l’association, soit procéder à des vérifications additionnelles. C’est ce dernier cas qui pose problème. A l’origine, l’opération était facultative. Apple ne l’a rendue obligatoire qu’un mois avant de lancer son système de paiement mobile. Si bien que certains organismes n’ont pas eu le temps de mettre en place les méthodes adéquates.
L’erreur est humaine
Les principaux établissements financiers ont opté pour une authentification de l’utilisateur via leur application mobile. Les plus petites structures recourent plutôt à un centre d’appels : le client doit communiquer à un conseiller des informations qu’il est théoriquement le seul à détenir. Par exemple, les quatre derniers chiffres de son numéro de Sécurité sociale.
Problème : ces données peuvent facilement tomber entre les mains de tiers malintentionnés, car elles abondent sur le marché noir en ligne. Il en circule par millions après des cyber-attaques comme celles qui ont visé les enseignes de distribution Target et Home Depot (50 millions de numéros de cartes aspirés dans le premier cas ; 70 millions dans le second).
Il suffit alors aux fraudeurs de paramétrer de nouveaux iPhone avec les données bancaires, puis d’appeler les organismes financiers pour finaliser la vérification… Avec les numéros de Sécurité sociale récupérés sur Internet, mais aussi éventuellement avec d’autres informations glanées sur le Web par des techniques de social engineering.
Les téléphones paramétrés sont utilisés en point de vente pour acquérir des biens de grande valeur qui peuvent ensuite être revendus contre des espèces sonnantes et trébuchantes.
Consultant en finance et spécialiste du paiement mobile, Cherian Abraham confirme que les fraudes de ce genre se multiplient chez les banques partenaires d’Apple Pay. Il estime le business plus lucratif que les achats en ligne, les délais de livraison laissant aux e-commerçants le temps d’annuler la transaction en cas d’incertitude.
Pour les experts en sécurité qui se sont confiés à Gartner, Apple aurait dû communiquer plus tôt sur cette notion de « Yellow Path ». Certaines banques ont effectivement, au-delà même de cette question de protection des paiements, du mal à absorber toutes les demandes d’association de cartes avec Apple Pay, disponible depuis octobre 2014 sur l’iPhone 6 et l’iPhone 6 Plus.
Crédit photo : Bloomua – Shutterstock.com