22 octobre 2021

Effectuer des paiements à l’insu de l’utilisateur via Apple Pay et le mode Transport Express

Les clients CBC pourront bientôt payer avec Apple Pay - ICT actualité -  Data News

Résumé de l’attaque

Des chercheurs ont démontré que quelqu’un pouvait utiliser un iPhone volé et verrouillé pour payer des biens ou des services d’une valeur de plusieurs milliers de dollars, sans authentification.

L’écran de verrouillage d’Apple Pay peut être contourné pour tout iPhone avec une carte Visa configurée en mode transit. La limite du sans contact peut également être contournée, ce qui permet un nombre illimité de transactions sans contact à partir d’un iPhone verrouillé.

Pour cela, un attaquant n’a besoin que d’un iPhone volé et allumé. Les transactions peuvent également être relayées à partir d’un iPhone placé dans le sac d’une personne, à son insu. L’attaquant n’a besoin d’aucune aide de la part d’un commerçant.

Cette attaque est rendue possible par une combinaison de failles à la fois dans Apple Pay et dans le système de Visa. Elle n’affecte pas, par exemple, MasterCard sur Apple Pay ou Visa sur Samsung Pay.

Détails de l’attaque

Les paiements sans contact Europay, MasterCard et Visa (EMV) constituent un moyen rapide et facile d’effectuer des paiements et deviennent de plus en plus un moyen de paiement standard. Cependant, si les paiements peuvent être effectués sans que l’utilisateur ait à intervenir, cela augmente la surface d’attaque pour les utilisateurs malveillants et notamment pour les attaques relais, qui peuvent faire transiter des messages entre les cartes et les lecteurs à l’insu de leur propriétaire, permettant ainsi des paiements frauduleux. Les paiements effectués via des applications pour smartphones doivent généralement être confirmés par l’utilisateur au moyen d’une empreinte digitale, d’un code PIN ou de Face ID. Les attaques par relais sont donc moins menaçantes.

Cependant, Apple Pay a introduit la fonctionnalité « Carte de transport express » (mai 2019) qui permet d’utiliser Apple Pay à une station de transport sans déverrouiller le téléphone, pour des raisons de facilité. Cette fonctionnalité peut être exploitée pour contourner l’écran de verrouillage d’Apple Pay, et payer illicitement depuis un iPhone verrouillé, à l’aide d’une carte Visa, sur n’importe quel lecteur EMV, pour n’importe quel montant, sans autorisation de l’utilisateur.

En outre, Visa a proposé un protocole pour arrêter de telles attaques de relais pour les cartes. Ici, il est montré que la contre-mesure de relais proposée par Visa peut être contournée en utilisant une paire de smartphones Android compatibles NFC, dont l’un est rooté.

L’attaque contre le mode Transport Express d’Apple Pay est une attaque « Man-in-the-Middle » couplée avec une attaque « Relay Attack ». Le seul prérequis est qu’un iPhone ait une carte Visa (crédit ou débit) configurée comme « carte de transport ». Pour configurer la carte, il faut se rendre dans Réglages –> Cartes et Apple Pay –> Carte de transport express.

Figure 1 : Schéma de l’attaque avec un proxmark

Un Proxmark (qui fera office d’émulateur de lecteur) est utilisé pour communiquer avec l’iPhone de la victime et un téléphone Android compatible NFC (qui fait office d’émulateur de carte) pour communiquer avec un terminal de paiement. Le Proxmark et l’émulateur de carte doivent communiquer entre eux. Dans la simulation, le Proxmark est connecté à un ordinateur portable, auquel il communiquait par USB ; l’ordinateur portable relaie ensuite les messages à l’émulateur de carte par WiFi. Le Proxmark peut également communiquer directement avec un téléphone Android via Bluetooth. Le téléphone Android n’a pas besoin d’être rooté.

L’attaque nécessite la proximité de l’iPhone de la victime. Cela peut se faire en tenant l’émulateur de terminal près de l’iPhone, alors que son propriétaire légitime est toujours en sa possession, en le volant ou en trouvant un téléphone perdu.

L’attaque fonctionne en rejouant d’abord les Magic Bytes à l’iPhone, de sorte qu’il croit que la transaction se déroule avec un lecteur EMV de transport. Ensuite, lors de la transmission des messages EMV, les « Terminal Transaction Qualifiers (TTQ) », envoyés par le terminal EMV, doivent être modifiés de manière que les bits (drapeaux) pour l’authentification des données hors ligne « Offline Data Authentication (ODA) » pour les autorisations en ligne supportées et le mode EMV supporté soient activés. L’authentification des données hors ligne pour les transactions en ligne est une fonction utilisée dans les lecteurs spéciaux, comme les portes d’entrée des systèmes de transports, où les lecteurs EMV peuvent avoir une connectivité intermittente et le traitement en ligne d’une transaction ne peut pas toujours avoir lieu. Ces modifications sont suffisantes pour permettre le relai d’une transaction vers un lecteur EMV non destiné au transport, si la transaction est inférieure à la limite sans contact.

Afin de relayer les transactions au-delà de la limite sans contact, les qualificateurs de transaction par carte « Card Transaction Qualifiers (CTQ) », envoyés par l’iPhone, doivent être modifiés de manière que le bit (drapeau) pour la méthode de vérification du titulaire de la carte du dispositif consommateur soit activé. Cela permet de faire croire au lecteur EMV qu’une authentification de l’utilisateur a été effectuée sur l’appareil (par exemple, par empreinte digitale). La valeur CTQ apparait dans deux messages envoyés par l’iPhone et doit être modifiée dans les deux cas.

Figure 2 : Vidéo démonstration de l’attaque

Protection contre l’attaque

En attendant que Visa ou Apple mettent en œuvre une solution pour résoudre le problème, nous recommandons aux utilisateurs de ne pas utiliser Visa comme carte de transport dans Apple Pay. En cas de perte ou de vol de votre iPhone, activez le mode Perdu sur votre iPhone, et appelez votre banque pour bloquer votre carte.

22 octobre 2021 CERT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *