Google Wallet est pour l’instant la seule application de paiement pour smartphone utilisant la technologie NFC (Near Field Communication).
Mais elle a déjà dévoilé plusieurs failles importantes. Censée être théoriquement plus sécurisée que celle des cartes de crédit, la technologie est encore dans sa prime jeunesse.
Déjà le mois dernier, les experts en sécurité IT de viaForensics avaient publié une étude épinglant l’application Google Wallet.
Selon les chercheurs, elle enregistre en clair (sans encodage) des données pourtant critiques. Par exemple les 4 derniers numéros de la carte de crédit, sa date d’expiration, le nom de l’utilisateur, l’historique des transactions…
Largement de quoi lancer une attaque par « social engineering », utilisant ces données pour créer une attaque ciblée de l’utilisateur. Il peut alors involontairement dévoiler au pirate le reste de ses informations bancaires.
Et la semaine dernière, c’est carrément le code PIN de sécurité de quatre chiffres utilisé par l’application qui s’est révélé vulnérable.
Joshua Rubin, ingénieur senior pour l’entreprise de sécurité Web zveloLABS, a remarqué que Google Wallet conservait en clair et accessible dans la mémoire du téléphone le « hash » du code PIN.
Ce code PIN est utilisé pour sécuriser les transactions et déjouer d’éventuels voleurs. Il bloque totalement l’application (au point de supprimer toutes les informations bancaires de l’utilisateur) au bout de 5 échecs.
Le problème, c’est que ce code est composé de 4 chiffres, ce qui limite le nombre de mots de passe différents à 10 000.
Une attaque par force brute limitée à 10 000 calculs pour trouver le code correspondant au « hash » est facile pour les processeurs modernes, même ceux des smartphones.
Un voleur pourrait donc très facilement pirater le smartphone, récupérer ce code PIN puis utiliser le compte Google Wallet de sa victime.
Google a été mis au courant le mois dernier, et cherche à corriger le problème.
La publication du correctif est cependant ralentie car elle doit impliquer les constructeurs des puces NFC (qui doivent signer numériquement la mise à jour pour qu’elle puisse être installée) et les banques, qui sont soumises à une règlementation stricte.
Le chercheur montre la faille dans une vidéo, hébergée par YouTube :
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…