Une vulnérabilité de paiement impliquant les iPhones et les cartes Visa a de nouveau attiré l'attention récemment : des chercheurs ont utilisé la technologie NFC pour « glisser » 10 000 $ sur l'iPhone du YouTuber Marques Brownlee (MKBHD) tout en gardant le téléphone verrouillé.

Cette méthode d’attaque a été démontrée dans une dernière vidéo de la célèbre chaîne de vulgarisation scientifique Veritasium. Le cœur de cette méthode d’attaque est de faire croire à l’iPhone qu’il glisse la carte à une porte de transport en commun, permettant ainsi des déductions importantes sans la déverrouiller.

Ce processus d'attaque a été conçu à l'origine par des chercheurs en cybersécurité de l'Université de Surrey et de l'Université de Birmingham au Royaume-Uni pour vérifier si les restrictions de sécurité des portefeuilles mobiles peuvent être contournées et si la limite traditionnelle du montant des transactions peut être dépassée lorsque l'iPhone est verrouillé. Des recherches pertinentes ont été rendues publiques dès 2021, et cette fois, Veritasium a utilisé le téléphone mobile de MKBHD comme exemple pour reproduire complètement le processus d'attaque et réussir un paiement de 10 000 $ à partir de son iPhone verrouillé.

L'attaque s'appuie sur un système matériel « de l'homme du milieu » soigneusement construit : tout d'abord, l'attaquant utilise un lecteur de carte NFC pour intercepter les données de communication entre l'iPhone et le terminal Quick Pass du commerçant. Le lecteur est connecté à un ordinateur portable, qui collecte et transmet les données de paiement à un autre « téléphone gravé » (téléphone temporaire), qui « touche » ensuite le véritable terminal de paiement pour finaliser la transaction. Pour vaincre la protection d'un iPhone, un attaquant devrait également régler le périphérique NFC sur exactement la même identité de terminal qu'un véritable portail de transport en commun, le faisant ressembler à un simple balayage de transport en commun.

Il est à noter que cette attaque n'est pas applicable à tous les utilisateurs et nécessite une série de prérequis : la victime doit activer le « Mode Transit Express » sur l'iPhone et définir une carte Visa comme carte de paiement par défaut dans ce mode. Les chercheurs ont souligné qu'il s'agissait d'un défaut de conception de sécurité dans le système Visa, plutôt que d'un défaut du système dans l'iPhone lui-même ; la même méthode ne fonctionnera pas lors de la liaison de cartes MasterCard ou American Express car ces réseaux utilisent des mécanismes de sécurité différents. Dans le camp Android, Samsung Pay sur les appareils Samsung n'est pas concerné par cette vulnérabilité, et l'ensemble de l'attaque nécessite que la combinaison spécifique « iPhone + Visa + Rapid Transit Mode » soit possible.

Apple a déclaré à Veritasium qu'il s'agissait d'un problème de sécurité au niveau du système Visa et non d'un risque général sur la plate-forme iPhone, et a souligné que la possibilité que ce scénario d'attaque se produise dans la vie réelle est extrêmement faible. Visa a répondu à Veritasium en disant qu'il était très irréaliste de reproduire ce type d'attaque dans un environnement réel à grande échelle. Toute transaction suspecte peut également être contestée et récupérée via les canaux de l'émetteur de la carte, et il est rappelé que les utilisateurs sont protégés par la « politique de responsabilité zéro » de Visa.

Les chercheurs qui ont proposé ce modèle d'attaque suggèrent que les utilisateurs inquiets du risque peuvent choisir de ne pas configurer leur carte Visa comme moyen de paiement rapide pour les transports publics sur leur iPhone afin de couper cette chaîne d'attaque potentielle à la source. Pour les utilisateurs ordinaires, même s'il s'agit d'une combinaison de configurations à haut risque, les attaquants ont toujours besoin d'un contact étroit, d'un matériel professionnel et d'ajustements minutieux, qui augmentent objectivement de manière significative le seuil de mise en œuvre.