Securité IT : le paiement sans contact et sans protection de Google Wallet

Cloud
Google Wallet

Des chercheurs ont découvert une importante faille de sécurité dans Google Wallet, le service de paiement mobile sans contact (technologie NFC) de Google.

Google Wallet est pour l’instant la seule application de paiement pour smartphone utilisant la technologie NFC (Near Field Communication).

Mais elle a déjà dévoilé plusieurs failles importantes. Censée être théoriquement plus sécurisée que celle des cartes de crédit, la technologie est encore dans sa prime jeunesse.

Déjà le mois dernier, les experts en sécurité IT de viaForensics avaient publié une étude épinglant l’application Google Wallet.

Selon les chercheurs, elle enregistre en clair (sans encodage) des données pourtant critiques. Par exemple les 4 derniers numéros de la carte de crédit, sa date d’expiration, le nom de l’utilisateur, l’historique des transactions…

Largement de quoi lancer une attaque par « social engineering », utilisant ces données pour créer une attaque ciblée de l’utilisateur. Il peut alors involontairement dévoiler au pirate le reste de ses informations bancaires.

Et la semaine dernière, c’est carrément le code PIN de sécurité de quatre chiffres utilisé par l’application qui s’est révélé vulnérable.

Joshua Rubin, ingénieur senior pour l’entreprise de sécurité Web zveloLABS, a remarqué que Google Wallet conservait en clair et accessible dans la mémoire du téléphone le « hash » du code PIN.

Ce code PIN est utilisé pour sécuriser les transactions et déjouer d’éventuels voleurs. Il bloque totalement l’application (au point de supprimer toutes les informations bancaires de l’utilisateur) au bout de 5 échecs.

Le problème, c’est que ce code est composé de 4 chiffres, ce qui limite le nombre de mots de passe différents à 10 000.

Une attaque par force brute limitée à 10 000 calculs pour trouver le code correspondant au « hash » est facile pour les processeurs modernes, même ceux des smartphones.

Un voleur pourrait donc très facilement pirater le smartphone, récupérer ce code PIN puis utiliser le compte Google Wallet de sa victime.

Google a été mis au courant le mois dernier, et cherche à corriger le problème.

La publication du correctif est cependant ralentie car elle doit impliquer les constructeurs des puces NFC (qui doivent signer numériquement la mise à jour pour qu’elle puisse être installée) et les banques, qui sont soumises à une règlementation stricte.

Le chercheur montre la faille dans une vidéo, hébergée par YouTube :

Lire aussi :