Benoit Grunemwald Expert en Cyber sécurité, ESET France
Des cybercriminels pourraient effectuer des achats frauduleux en contournant l’écran de verrouillage Apple Pay d’un iPhone lorsque le portefeuille de l’appareil comporte une carte Visa configurée en mode dit « de transit ». Des chercheurs de l’Université de Birmingham et de l’Université du Surrey ont montré que les attaquants pouvaient également contourner la limite du sans contact pour effectuer des transactions illimitées à partir d’iPhones verrouillés.
L’article de recherche, intitulé Practical EMV Relay Protection, montre comment un attaquant pourrait abuser d’une combinaison de failles dans Apple Pay et Visa, expliquant que tout ce dont il aurait besoin pour mener une attaque est un iPhone volé et allumé. Les transactions illicites pourraient également être effectuées même si l’appareil se trouve dans les bagages de la victime.
Lorsqu’il effectue un paiement via une application pour smartphone, l’utilisateur doit généralement authentifier la transaction à l’aide de l’une des fonctions d’authentification biométrique intégrées à l’iPhone, comme un scan d’empreinte digitale ou Face ID, ou en saisissant un code PIN, ce qui réduit les risques d’attaques. Cependant, en mai 2019, Apple a introduit la fonctionnalité Express Transit/Travel qui permet d’utiliser Apple Pay sans déverrouiller le téléphone. La fonctionnalité a été introduite pour faciliter le paiement aux stations de barrière de billetterie de transport.
« Nous montrons que cette fonctionnalité peut être exploitée pour contourner l’écran de verrouillage d’Apple Pay, et payer illicitement depuis un iPhone verrouillé, à l’aide d’une carte Visa, vers n’importe quel lecteur EMV, pour n’importe quel montant, sans l’autorisation de l’utilisateur », explique l’article décrivant la méthode d’attaque. L’attaque est classée comme une attaque par rejeu et relais de type Man-in-the-Middle (MitM), type d’attaque dans laquelle l’attaquant intercepte une communication en assumant le rôle d’intermédiaire entre les deux victimes, tout en maintenant des liens indépendants avec chacun d’eux.
L’attaque nécessite que l’iPhone ait une carte Visa configurée pour le paiement avec le mode Express Travel activé, et que la victime soit à proximité de l’attaquant. Pour réaliser leur test, les chercheurs ont utilisé un Proxmark qui a servi d’émulateur de lecteur, et un téléphone Android compatible NFC qui a été utilisé comme émulateur de carte pour communiquer avec le terminal de paiement. « L’attaque fonctionne en rejouant d’abord les Magic Bytes à l’iPhone, de sorte qu’il croit que la transaction a lieu avec un lecteur EMV de transport. Ensuite, lors de la transmission des messages EMV, les qualificateurs de transaction du terminal (TTQ), envoyés par le terminal EMV, doivent être modifiés de manière à ce que les bits pour l’authentification des données hors ligne (ODA), les autorisations en ligne et le mode EMV soient activés », précisent les chercheurs.
Pour relayer les transactions qui dépassent la limite de paiement sans contact, les Card Transaction Qualifiers (CTQ) qui sont chargés de fixer les limites de transaction doivent être modifiés. « Cela permet de tromper le lecteur EMV en lui faisant croire que l’authentification de l’utilisateur sur l’appareil a été effectuée (par exemple, par empreinte digitale). La valeur CTQ apparaît dans deux messages envoyés par l’iPhone et doit être modifiée dans les deux occurrences », expliquent les chercheurs. Au cours de leur test, l’équipe a pu effectuer une transaction de 1 000 £ (environ 1 180 €). En utilisant deux téléphones Android équipés de la technologie NFC, l’équipe de recherche a également pu contourner le protocole de Visa utilisé pour stopper les attaques par relais pour les cartes de paiement.
Apple et Visa ont été informés de la faille de sécurité par les chercheurs et, bien que les deux sociétés aient reconnu la gravité de la vulnérabilité, elles n’ont pas encore trouvé d’accord sur celle qui doit déployer un correctif. Dans l’intervalle, il est conseillé aux utilisateurs de ne pas utiliser les cartes Visa en mode carte de transport lorsqu’ils utilisent Apple Pay.
Benoit Grunemwald
Expert en Cyber sécurité,
ESET France
L’article de recherche, intitulé Practical EMV Relay Protection, montre comment un attaquant pourrait abuser d’une combinaison de failles dans Apple Pay et Visa, expliquant que tout ce dont il aurait besoin pour mener une attaque est un iPhone volé et allumé. Les transactions illicites pourraient également être effectuées même si l’appareil se trouve dans les bagages de la victime.
Lorsqu’il effectue un paiement via une application pour smartphone, l’utilisateur doit généralement authentifier la transaction à l’aide de l’une des fonctions d’authentification biométrique intégrées à l’iPhone, comme un scan d’empreinte digitale ou Face ID, ou en saisissant un code PIN, ce qui réduit les risques d’attaques. Cependant, en mai 2019, Apple a introduit la fonctionnalité Express Transit/Travel qui permet d’utiliser Apple Pay sans déverrouiller le téléphone. La fonctionnalité a été introduite pour faciliter le paiement aux stations de barrière de billetterie de transport.
« Nous montrons que cette fonctionnalité peut être exploitée pour contourner l’écran de verrouillage d’Apple Pay, et payer illicitement depuis un iPhone verrouillé, à l’aide d’une carte Visa, vers n’importe quel lecteur EMV, pour n’importe quel montant, sans l’autorisation de l’utilisateur », explique l’article décrivant la méthode d’attaque. L’attaque est classée comme une attaque par rejeu et relais de type Man-in-the-Middle (MitM), type d’attaque dans laquelle l’attaquant intercepte une communication en assumant le rôle d’intermédiaire entre les deux victimes, tout en maintenant des liens indépendants avec chacun d’eux.
L’attaque nécessite que l’iPhone ait une carte Visa configurée pour le paiement avec le mode Express Travel activé, et que la victime soit à proximité de l’attaquant. Pour réaliser leur test, les chercheurs ont utilisé un Proxmark qui a servi d’émulateur de lecteur, et un téléphone Android compatible NFC qui a été utilisé comme émulateur de carte pour communiquer avec le terminal de paiement. « L’attaque fonctionne en rejouant d’abord les Magic Bytes à l’iPhone, de sorte qu’il croit que la transaction a lieu avec un lecteur EMV de transport. Ensuite, lors de la transmission des messages EMV, les qualificateurs de transaction du terminal (TTQ), envoyés par le terminal EMV, doivent être modifiés de manière à ce que les bits pour l’authentification des données hors ligne (ODA), les autorisations en ligne et le mode EMV soient activés », précisent les chercheurs.
Pour relayer les transactions qui dépassent la limite de paiement sans contact, les Card Transaction Qualifiers (CTQ) qui sont chargés de fixer les limites de transaction doivent être modifiés. « Cela permet de tromper le lecteur EMV en lui faisant croire que l’authentification de l’utilisateur sur l’appareil a été effectuée (par exemple, par empreinte digitale). La valeur CTQ apparaît dans deux messages envoyés par l’iPhone et doit être modifiée dans les deux occurrences », expliquent les chercheurs. Au cours de leur test, l’équipe a pu effectuer une transaction de 1 000 £ (environ 1 180 €). En utilisant deux téléphones Android équipés de la technologie NFC, l’équipe de recherche a également pu contourner le protocole de Visa utilisé pour stopper les attaques par relais pour les cartes de paiement.
Apple et Visa ont été informés de la faille de sécurité par les chercheurs et, bien que les deux sociétés aient reconnu la gravité de la vulnérabilité, elles n’ont pas encore trouvé d’accord sur celle qui doit déployer un correctif. Dans l’intervalle, il est conseillé aux utilisateurs de ne pas utiliser les cartes Visa en mode carte de transport lorsqu’ils utilisent Apple Pay.
Benoit Grunemwald
Expert en Cyber sécurité,
ESET France