La faille de 10 000 $ dans le portefeuille d'Apple et Visa

Une faille de sécurité alarmante permet aux pirates de vider des milliers de dollars d'un iPhone verrouillé sans aucune interaction de l'utilisateur. Veritasium a récemment démontré cet exploit en direct, réussissant à voler 10 000 $ de l'appareil de MKBHD. Cette attaque glaçante de type « man-in-the-middle » exploite une lacune logique critique entre Apple Pay et Visa.

Cette vulnérabilité cible spécifiquement le mode Express Transit d'Apple Pay, une fonctionnalité pratique conçue pour les paiements rapides aux tourniquets de métro. Ce mode contourne intentionnellement la sécurité typique de l'écran de verrouillage, comme Face ID ou Touch ID, permettant aux utilisateurs de simplement taper leur appareil pour payer. L'iPhone est intrinsèquement programmé pour abandonner ses protocoles de sécurité lorsqu'il détecte un code de diffusion de transit spécifique, ouvrant ainsi une fenêtre d'exploitation.

Les attaquants exploitent cela en déployant un appareil spécialisé, le Proxmark, pour usurper le signal crucial de la porte de métro. Les chercheurs utilisent le Proxmark pour intercepter un signal de terminal de vente au détail standard, puis inversent astucieusement un seul bit binaire de 0 à 1. Ce « mensonge de transit » convainc l'iPhone qu'il interagit avec une porte de transit légitime, le forçant à contourner entièrement l'écran de verrouillage et à traiter une transaction de vente au détail non autorisée de grande valeur, déguisée en un simple tap de transit de faible valeur, sans vérification de l'utilisateur.

Les chercheurs orchestrent l'attaque avec un appareil Proxmark, usurpant d'abord un code de diffusion de transit pour faire croire à un iPhone verrouillé qu'il se trouve à un tourniquet de métro. Ce mensonge de transit initial contourne l'écran de verrouillage, ouvrant la porte à une manipulation ultérieure. Ensuite, l'exploit exécute le Mensonge de Valeur : il intercepte le signal de transaction et inverse un seul bit, changeant un indicateur de grande valeur en '0'. Cette tromperie convainc l'iPhone qu'une charge massive, comme 10 000 $, n'est qu'un simple tap de transit à faible coût, tel qu'un tarif de 3 $, contournant les déclencheurs de vérification basés sur la valeur.

La troisième et dernière étape est le Mensonge de Vérification. Alors que l'iPhone répond en interne avec 'utilisateur non vérifié', le script sophistiqué intercepte ce signal. Il inverse ensuite un bit binaire crucial de '0' à '1', fabriquant ainsi une autorisation d'utilisateur. Cette réponse modifiée est transmise au terminal de paiement, confirmant faussement la transaction comme légitime et approuvée par l'utilisateur.

Combinées, ces trois manipulations binaires séquentielles — le contournement de transit, l'altération de valeur et la vérification falsifiée — créent une transaction frauduleuse complète. La banque traite et approuve la charge sans aucune interaction explicite de l'utilisateur ni authentification biométrique. Cette attaque sophistiquée de type « man-in-the-middle » met en évidence une lacune logique critique entre Apple Pay et Visa, permettant aux attaquants de vider des milliers de dollars d'un appareil verrouillé.

Mastercard utilise une architecture de sécurité fondamentalement différente pour les paiements sans contact. Elle exige des signatures RSA asymétriques pour chaque tap, créant un verrou cryptographique sur les données de transaction. Cette approche rigoureuse garantit que toute tentative de modification des détails de la transaction en cours de route invalide immédiatement la signature, empêchant les frais frauduleux.

Visa, cependant, présente une divergence de protocole critique, permettant à certains terminaux en ligne de contourner entièrement ces vérifications de signature essentielles. Dans ce mode spécifique, les bits de données cruciaux, y compris l'indicateur de valeur élevée/faible, restent non signés et donc modifiables par un attaquant dans un scénario de type « man-in-the-middle ». Cela permet au « mensonge de valeur » de réussir, transformant une somme importante en un tarif de transit apparemment minime.

Ce vecteur d'attaque sophistiqué n'est pas universel ; il cible spécifiquement la combinaison Apple Pay et Visa en mode Express Transit. Les systèmes de paiement basés sur Android, tels que Samsung Pay, intègrent des couches de sécurité supplémentaires qui contrecarent efficacement ce type de manipulation par inversion de bits. Des chercheurs de l'University of Surrey et de l'University of Birmingham ont mis en évidence cette vulnérabilité il y a des années ; pour plus de détails sur l'exploit, consultez New vulnerability in Apple Pay Express Transit mode could allow fraud.

Le jeu du blâme laisse les consommateurs exposés dans une impasse corporative frustrante. Apple soutient que l'exploit est un problème fondamental du réseau Visa, affirmant que la responsabilité incombe au protocole du processeur de paiement. Visa, cependant, minimise la gravité, affirmant que la fraude signalée est trop rare pour justifier un correctif dédié et s'appuie plutôt sur ses systèmes de détection de fraude post-transaction existants. Cela crée une impasse dangereuse, laissant une vulnérabilité connue sans solution.

Cette inaction perpétue une lacune de sécurité critique. Des chercheurs de l'University of Surrey et de l'University of Birmingham ont révélé publiquement cette faille sophistiquée en 2020, démontrant son exploitabilité. Malgré les années écoulées depuis cette révélation, ni Apple ni Visa n'ont mis en œuvre de correctif systémique, reportant ainsi l'intégralité du fardeau de la sécurisation des transactions de grande valeur sur l'utilisateur individuel. L'absence de résolution signifie que la vulnérabilité persiste sur des millions d'appareils.

En fin de compte, une seule solution concrète existe pour protéger vos finances contre cette attaque spécifique. Les utilisateurs doivent désactiver le mode Express Transit pour toutes les cartes Visa liées. Pour ce faire, accédez à Settings > Wallet & Apple Pay sur votre iPhone, puis sélectionnez votre carte Express Transit et désactivez la fonctionnalité. Cette mesure proactive reste la seule défense contre cette vulnérabilité non corrigée, garantissant que votre iPhone verrouillé n'est pas un conduit involontaire pour des frais non autorisés.

Qu'est-ce que l'exploit Apple Pay Visa ?

C'est une attaque de type homme-du-milieu ciblant le mode Express Transit d'Apple Pay avec les cartes Visa, permettant des paiements non autorisés de grande valeur depuis un iPhone verrouillé.

Pourquoi cet exploit n'affecte-t-il que les cartes Visa ?

Contrairement à Mastercard, les protocoles de Visa pour ce mode spécifique n'exigent pas de signatures cryptographiques pour toutes les transactions, ce qui permet aux attaquants de modifier les données de transaction en transit.

Comment puis-je me protéger de cette vulnérabilité ?

Le moyen le plus efficace est de désactiver le mode Express Transit pour votre carte Visa. Allez dans Settings > Wallet & Apple Pay > Express Transit Card et sélectionnez 'Aucun'.

Apple ou Visa ont-ils résolu ce problème ?

Non. Bien qu'elles soient conscientes de la faille depuis 2020, les deux entreprises ont refusé de mettre en œuvre un correctif, chacune affirmant que l'autre est responsable de la solution.