Paiement sans contact : une faille de sécurité découverte dans Samsung Pay
- Détails
-
Publié le par Meilleurtaux Banques
Un chercheur en cybersécurité a découvert une faille très sérieuse dans Samsung Pay, la solution de paiement sans contact du géant coréen. Plus précisément, en exploitant cette brèche, n’importe qui peut intercepter les informations personnelles de l'utilisateur et effectuer des achats frauduleux.
Samsung Pay : bonne pour les poubelles ?
Très pratique et facile d’utilisation, le paiement sans contact, cette technologie qui permet de régler ses courses simplement en passant son smartphone devant un terminal, fait désormais partie de notre quotidien. De nombreuses entreprises ont flairé le filon, parmi celles-ci Samsung qui vient de lancer sa solution de paiement mobile baptisée Samsung Pay. En France, Orange propose une alternative avec Orange Cash.
Si le concept séduit, la question de la sécurité demeure toutefois l’un des principaux obstacles à son adoption à grande échelle. Certains utilisateurs hésitent encore à sauter le pas par crainte que leurs données personnelles ne tombent entre de mauvaises mains. Et le moins que l’on puisse dire, c’est que leur doute semble justifié. En effet, il s’est avéré que Samsung Pay comportait de graves lacunes de sécurité. Une faille permettrait de récupérer les données contenues dans la carte bancaire et de les exploiter à des fins frauduleuses.
Un algorithme peu performant
Techniquement, cela parait impossible. Puisque sur Samsung Pay, le paiement s’effectue grâce à des données jetables (jeton ou token en anglais) envoyées par le serveur de la banque. Les informations personnelles de l’utilisateur sont donc conservées à l’abri dans un cloud sécurisé.
Important Pourtant, lors de la conférence Black Hat à Las Vegas en 2016, Salvador Mendoza, un expert en cybersécurité, a démontré que ces jetons, censés être sécurisés, étaient loin d’être infaillibles. Selon ce spécialiste, le problème réside dans l’algorithme de chiffrement de ces jetons, dont le niveau de sécurité est très faible.
Résultat : il est parvenu facilement à prédire le séquencement de ces derniers. Ainsi, après le premier jeton généré par l’application, le chercheur a pu identifier avec précision la suite des autres jetons.
Pour prouver la vulnérabilité de Samsung Pay, Mendoza avait envoyé le code contenu dans le jeton à un ami se trouvant au Mexique, et grâce à un terminal de paiement sans contact détourné, celui-ci a pu régler ses achats alors que le service est encore indisponible dans le pays.
Le géant coréen a été informé de ces vulnérabilités et devrait corriger rapidement la faille.
