Google Wallet est pour l’instant la seule application de paiement pour smartphone utilisant la technologie NFC (Near Field Communication).
Mais elle a déjà dévoilé plusieurs failles importantes. Censée être théoriquement plus sécurisée que celle des cartes de crédit, la technologie est encore dans sa prime jeunesse.
Déjà le mois dernier, les experts en sécurité IT de viaForensics avaient publié une étude épinglant l’application Google Wallet.
Selon les chercheurs, elle enregistre en clair (sans encodage) des données pourtant critiques. Par exemple les 4 derniers numéros de la carte de crédit, sa date d’expiration, le nom de l’utilisateur, l’historique des transactions…
Largement de quoi lancer une attaque par « social engineering », utilisant ces données pour créer une attaque ciblée de l’utilisateur. Il peut alors involontairement dévoiler au pirate le reste de ses informations bancaires.
Et la semaine dernière, c’est carrément le code PIN de sécurité de quatre chiffres utilisé par l’application qui s’est révélé vulnérable.
Joshua Rubin, ingénieur senior pour l’entreprise de sécurité Web zveloLABS, a remarqué que Google Wallet conservait en clair et accessible dans la mémoire du téléphone le « hash » du code PIN.
Ce code PIN est utilisé pour sécuriser les transactions et déjouer d’éventuels voleurs. Il bloque totalement l’application (au point de supprimer toutes les informations bancaires de l’utilisateur) au bout de 5 échecs.
Le problème, c’est que ce code est composé de 4 chiffres, ce qui limite le nombre de mots de passe différents à 10 000.
Une attaque par force brute limitée à 10 000 calculs pour trouver le code correspondant au « hash » est facile pour les processeurs modernes, même ceux des smartphones.
Un voleur pourrait donc très facilement pirater le smartphone, récupérer ce code PIN puis utiliser le compte Google Wallet de sa victime.
Google a été mis au courant le mois dernier, et cherche à corriger le problème.
La publication du correctif est cependant ralentie car elle doit impliquer les constructeurs des puces NFC (qui doivent signer numériquement la mise à jour pour qu’elle puisse être installée) et les banques, qui sont soumises à une règlementation stricte.
Le chercheur montre la faille dans une vidéo, hébergée par YouTube :
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…
Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…