Une nouvelle étude révèle une faille dans la sécurité des portefeuilles numériques, même si le titulaire légitime de la carte n’utilise pas de portefeuille numérique
Les portefeuilles numériques, comme Apple Pay, Google Pay et PayPal, devraient être utilisés par plus de 5,3 milliards de personnes d’ici 2026. Bien que ces portefeuilles offrent une sécurité accrue par rapport aux méthodes de paiement traditionnelles, le recours à des méthodes d’authentification obsolètes et la priorité donnée à la commodité par rapport à la sécurité rendent les portefeuilles numériques vulnérables, selon une nouvelle étude menée par des ingénieurs informaticiens de l’Université du Massachusetts à Amherst.
« Nous avons découvert que ces portefeuilles numériques ne sont pas sécurisés », explique Taqi Raza, professeur adjoint de génie électrique et informatique et auteur de l’étude. « La principale raison est qu’il existe une confiance inconditionnelle entre le titulaire de la carte, le portefeuille et la banque. »
Dans l’écosystème normal du portefeuille numérique, les utilisateurs commencent par saisir leur numéro de carte de crédit ou de débit, appelé numéro de compte principal (PAN), dans le portefeuille numérique. L’identité de l’utilisateur est authentifiée comme étant le titulaire légitime de la carte à l’aide d’un élément d’information, comme un code postal ou les quatre derniers chiffres de son numéro de sécurité sociale.
Ensuite, chaque fois qu’un achat est effectué, le portefeuille cache le PAN et partage un « jeton » avec le vendeur. Le vendeur associe le jeton à la transaction. Ces informations transitent par le réseau de paiement de la banque, qui reconvertit le jeton en PAN. La banque règle ensuite le paiement avec le vendeur au nom du client sans jamais révéler le PAN au vendeur.
Malheureusement, il existe des moyens pour les acteurs malveillants de contourner ce système et d’effectuer des achats avec les cartes de crédit d’autres personnes. Les principales banques américaines et les sociétés de portefeuilles numériques concernées sont décrites dans l’article. Ces sociétés ont été informées des résultats de l’étude avant sa publication et ont eu suffisamment de temps pour apporter les améliorations de sécurité nécessaires. Les chercheurs ont utilisé leurs propres cartes pour réaliser leurs tests et aucune activité frauduleuse n’a été réalisée lors de ces tests de sécurité.
Il y a d’abord la question de l’authentification initiale. « Tout acteur malveillant qui connaît le numéro de carte (physique) peut se faire passer pour le titulaire de la carte », explique Raza. « Le portefeuille numérique ne dispose pas de mécanisme suffisant pour authentifier si l’utilisateur de la carte est le titulaire de la carte ou non. » Il souligne que les méthodes d’authentification existantes peuvent facilement être contournées.
Un autre problème est que, lorsqu’une victime signale le vol de sa carte, les banques bloquent uniquement les transactions effectuées à partir d’une carte physique, et non celles effectuées via un portefeuille numérique. Les banques supposent que leur système d’authentification est suffisamment sécurisé pour empêcher les attaquants d’ajouter la carte d’une autre personne à leur portefeuille, ce qui n’est pas le cas, comme le souligne Raza.
Une fois que les numéros de cartes volées sont enregistrés dans un portefeuille numérique, il est pratiquement impossible pour le titulaire de la carte de les désactiver. « Même si le titulaire de la carte demande un remplacement de carte, les banques ne ré-authentifient pas les cartes stockées dans le portefeuille », explique Raza. « Elles se contentent de modifier le numéro virtuel correspondant au nouveau numéro de carte physique. »
Voici un exemple fictif : le numéro de carte de crédit de la victime se termine par 0123. Un attaquant ajoute 0123 à son portefeuille numérique et commence à effectuer des achats. Là encore, les portefeuilles numériques fonctionnent en envoyant un numéro virtuel au vendeur, de sorte que ce dernier reçoit le numéro virtuel ABCD et transmet ce numéro à la banque pour obtenir le paiement associé au compte 0123.
La victime découvre les paiements frauduleux et demande à la banque d’émettre une nouvelle carte de crédit. La banque envoie une nouvelle carte avec le numéro 4567 et, en arrière-plan, remappe le numéro virtuel : ABCD n’est plus lié à 0123, il est désormais lié à 4567. Le portefeuille commence automatiquement à montrer la nouvelle carte à son utilisateur sans aucune vérification pour que la nouvelle carte soit mise à jour dans le portefeuille. Les vendeurs se rendent ensuite à la banque avec ABCD, qui est désormais lié à 4567, le nouveau numéro actif, et l’achat est effectué.
Les chercheurs ont également testé cette faille du côté des portefeuilles numériques et ont découvert des vulnérabilités similaires. « Nous voulons que les entreprises de portefeuilles numériques assument également une part de responsabilité, car elles sont en première ligne dans la manière dont ces transactions se déroulent », explique Raja Hasnain Anwar, doctorant en génie électrique et informatique et auteur principal de l’étude. « Nous voulons qu’elles aient une coordination solide. C’est tout l’intérêt de l’étude : il n’y en a pas. Il y a un manque de coordination. »
Il souligne que bon nombre de ces problèmes découlent des nouvelles fonctionnalités proposées par les banques. « Par exemple, il est possible de partager sa carte au sein d’une famille : une carte peut être ajoutée à plusieurs téléphones portables », explique-t-il.
« Si vous avez un abonnement Netflix, la société de carte de crédit ne veut pas que vous perdiez cet abonnement, elle continuera donc à facturer votre carte, même si celle-ci est bloquée. Si les banques tentent de dématérialiser toutes leurs plateformes de paiement, elles doivent redoubler d’efforts pour sécuriser ce processus. Elles ne peuvent pas se contenter de compter sur la technologie existante pour y parvenir. »
« C’est la sécurité qui prime sur la commodité », ajoute Raza. « Et nous avons constaté que les banques accordent plus d’importance à la commodité qu’à la sécurité. La sécurité est considérée comme acquise parce qu’elles pensent que la vérification de l’appareil de l’utilisateur est suffisante pour assurer la sécurité du portefeuille. Ce n’est pas le cas. »
Bien que cette faille spécifique ait été résolue, les chercheurs recommandent toujours de suivre les meilleures pratiques de sécurité : activer les notifications par e-mail lorsqu’une carte est ajoutée/supprimée du portefeuille, activer les alertes de transaction pour les cartes de crédit, vérifier régulièrement les relevés de carte de crédit et examiner les appareils liés aux cartes de crédit via le portail Web de la banque ou les paramètres de compte de l’application mobile.
Plus d’informations :
Anwar et al. Dans Wallet We Trust : contourner la sécurité des paiements par portefeuille numérique pour les achats gratuits (2024). www.usenix.org/conference/usen … 4/presentation/anwar
Fourni par l’Université du Massachusetts à Amherst
Citation:Une nouvelle étude révèle une faille dans la sécurité des portefeuilles numériques, même si le titulaire légitime de la carte n’utilise pas de portefeuille numérique (2024, 14 août) récupéré le 14 août 2024 à partir de
Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans autorisation écrite. Le contenu est fourni à titre d’information uniquement.