Pour gérer vos consentements :
Categories: Cloud

Securité IT : le paiement sans contact et sans protection de Google Wallet

Google Wallet est pour l’instant la seule application de paiement pour smartphone utilisant la technologie NFC (Near Field Communication).

Mais elle a déjà dévoilé plusieurs failles importantes. Censée être théoriquement plus sécurisée que celle des cartes de crédit, la technologie est encore dans sa prime jeunesse.

Déjà le mois dernier, les experts en sécurité IT de viaForensics avaient publié une étude épinglant l’application Google Wallet.

Selon les chercheurs, elle enregistre en clair (sans encodage) des données pourtant critiques. Par exemple les 4 derniers numéros de la carte de crédit, sa date d’expiration, le nom de l’utilisateur, l’historique des transactions…

Largement de quoi lancer une attaque par « social engineering », utilisant ces données pour créer une attaque ciblée de l’utilisateur. Il peut alors involontairement dévoiler au pirate le reste de ses informations bancaires.

Et la semaine dernière, c’est carrément le code PIN de sécurité de quatre chiffres utilisé par l’application qui s’est révélé vulnérable.

Joshua Rubin, ingénieur senior pour l’entreprise de sécurité Web zveloLABS, a remarqué que Google Wallet conservait en clair et accessible dans la mémoire du téléphone le « hash » du code PIN.

Ce code PIN est utilisé pour sécuriser les transactions et déjouer d’éventuels voleurs. Il bloque totalement l’application (au point de supprimer toutes les informations bancaires de l’utilisateur) au bout de 5 échecs.

Le problème, c’est que ce code est composé de 4 chiffres, ce qui limite le nombre de mots de passe différents à 10 000.

Une attaque par force brute limitée à 10 000 calculs pour trouver le code correspondant au « hash » est facile pour les processeurs modernes, même ceux des smartphones.

Un voleur pourrait donc très facilement pirater le smartphone, récupérer ce code PIN puis utiliser le compte Google Wallet de sa victime.

Google a été mis au courant le mois dernier, et cherche à corriger le problème.

La publication du correctif est cependant ralentie car elle doit impliquer les constructeurs des puces NFC (qui doivent signer numériquement la mise à jour pour qu’elle puisse être installée) et les banques, qui sont soumises à une règlementation stricte.

Le chercheur montre la faille dans une vidéo, hébergée par YouTube :

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago