Samsung Pay : une vulnérabilité permet de voler les cartes de crédit

Une vulnérabilité a été découverte dans Samsung Pay. Cette dernière permettrait de voler les cartes de crédit pour ensuite payer sans fil. La personne ayant découvert cette vulnérabilité en fait la démonstration en vidéo. 

Tout le monde s’est mis au paiement sans contact avec le smartphone. Que ça soit Apple et son Apple Pay qui vient d’arriver en France, Google ou encore Samsung. Tous les grands groupes proposent leurs solutions. En France on a aussi Orange qui propose cela.

Aujourd’hui on va s’intéresser plus particulièrement à la solution de Samsung. Malheureusement ce n’est pas pour une bonne nouvelle, en effet Samsung Pay fait face à une vulnérabilité très importante. Il serait possible de voler les données d’une carte de crédit sans fil pour ensuite l’utiliser pour payer sans fil.

Normalement cela est impossible, car Samsung Pay traduit les données de la carte de crédit en « jetons » et donc ne transmet pas directement les données de la carte. Mais un chercheur en sécurité, Salvador Mendoza, a découvert que ces jetons ne sont pas aussi sécurisés que cela et il en a fait la démonstration lors de la black Hat de Las Vegas.

Il explique que le problème avec ces jetons c’est que le séquencement de ces derniers est limité et il peut donc être prédit. Du coup après le premier jeton créé par Samsung Pay, le pirate serait en mesure de déterminer la suite des jetons.

Mendoza a fait la démonstration en envoyant un jeton à un ami au Mexique qui a pu payer sans contact grâce à un matériel d’usurpation d’identité sans fil alors même que le service n’est pas disponible dans le pays. Il a fait une autre démonstration que vous pouvez voir dans la vidéo à la fin.

Comme tous les chercheurs en sécurité, Mendoza a prévenu Samsung de la vulnérabilité. Cependant il ne sait pas si le constructeur a déjà réagi, mais connaissant la rapidité des mises à jours de sécurité de Samsung nul doute que cela sera bientôt fait.

   Suivez nous sur Facebook   


Vous aimerez peut être


Réagir à cet article

  • foxraph

    Pas cool

  • MIDORIJIN

    Par ce que vous trouvez ça étonnant?

    • jejemc

      Absolument pas pour moi je m’en doutais ces comme le payement nfc rien est sécuriser

      • Atlas

        Rien à voir. Ici c’est simplement l’incompétence de Samsung qui est visible de tous. Apple Pay n’a pas ce problème.

        • MIDORIJIN

          Non, rien n’a « encore » était trouvé pour le apple pay, nuance.
          Absolument aucun système (quel qu’il soit) au monde n’est sécurisé à 100%, et perso, les système de payement de ce genre, c’est absolument hors de question pour moi (tout du moins, pour le moment).

          • John

            Tu as peur de te retrouver avec James bond derrière toi en caisse à lidl !? Mdr vous êtes d’un pathétisme, c’est affreux d’être aussi bêtes ….

          • MIDORIJIN

            Pas peur d’avoir un james bond derrière moi au lidl, mais pas envie de prendre de risque.
            Si toi tu peu éventuellement te permettre de perdre 20€ par ci par la, moi non, pas envie.
            Pourquoi devrai-on forcément passer pour un con en restant juste prudent?
            Tu conduit sans ceinture de sécurité? Tu saute en parachute sans parachute? Tu vas chasser l’ours sans aucune arme?…
            La seul chose que je demande, c’est un minimum de garantie avant d’utiliser ce genre de moyen de payement. C’est tout.

          • John

            La carte bleu sans contact il y a en effet un risque mais en cas de perte car n’importe qui peux dans la limite de 20 euros par transaction utiliser ta carte en revanche Apple Pay a moins d’être un parano il n’ y a aucun risque même en cas de perte ou vol de ton iPhone a moins d’être un cretin de ne ne pas savoir protéger comme il se doit tes données !

          • MIDORIJIN

            Donc il semblerai que je vais t’apprendre quelque chose car il y a des mme et des kevin Michu qui possède aussi des smartphone (aussi bien android que apple) et que je suis sur (sans bien sur n’apporter de chiffre officiel) qu’au moins (je dis bien au moins) 50% des utilisateur de smartphone sont des mr et mme tout le monde qui n’ont pas grande connaissance dans l’utilisation de leur téléphone et des possibilité qu’il leur permet. Tout le monde n’est pas comme toi ou moi à protéger ses données et ce n’est pas pour autant que tu puisse te permettre de les traiter de crétin aussi facilement.
            Surtout que le plus crétin et surement celui qui ce crois en total sécurité derrière toutes ses protections et qui, un jour, se rendra compte qu’il c’est bien fait enfler.
            Enfin bref, j’arrête la la discutions sinon je sent que je vais me prendre à la tête à donner des explication pour rien.
            Donc comme je l’ai dit dans mon précédent message, j’utiliserai (un jour) ce genre de moyen de payement, mais quant ça sera beaucoup plus sérieux que ce que ça l’est au jour d’aujourd’hui.

          • Atlas

            Non mais il a totalement raison pour le coup, et tu sembles ignorer le mode de fonctionnement des systèmes de paiements sur téléphone.

            Si une carte sans contact ne fait effectivement qu’envoyer son code comme ça dans l’air, un téléphone ne fait pas du tout la même chose.

            Tout d’abord, la transaction doit être validée sur le téléphone, c’est à dire que sans un code (ou plus généralement l’empreinte), il n’y a aucun paiement.

            Ensuite lorsque la transaction a lieu, il y a un échange entre le terminal de paiement du commerçant et le téléphone. Le téléphone envoie ensuite un code unique, le token, qui ne peut être utilisé que pour cette transaction. Donc même s’il est intercepté, il ne sert à rien.

            Il faudrait qu’une personne soit derrière toi pile au moment de payer avec une machine suffisamment puissante pour que son signal, envoyé depuis disons un mètre), soit plus puissant que le signal à un centimètre émis par le terminal du commerçant (en sachant qu’en général la puissance décroît très très vite). Mais dans ce cas tu le verrais tout de suite de toute façon car d’une part le terminal du commerçant ne verrait pas la transaction et d’autre part ton téléphone te dirais à qui l’argent a effectivement été envoyé.

            Tout ça semble bien improbable, et c’est pourquoi les paiements par téléphone n’ont pas de plafond à 20 euros comme les cartes.

          • John

            Ces mecs qui ne veulent pas entendre parler de se modes de paiement c’est des parano qui sont cloisonnés dans leurs monde de fiction a force de regarder de la merde à la télé les mecs deviennent fou :) Ils sont persuadé d’être espionné par la NSA, le FBI Ils sont persuadé d’avoir des James bond derrière eux en caisse à Intermarché … Moi dernier moi a Intermarché sans déconné j’ai une couple de vieux qui sent la pisse et devant un mec alcoolisé qui viens cherche sa cannette de 8/6 bordel ouvrez les yeux et revenez dans le monde réel les mecs y’a urgence la mdr

          • Atlas

            Oui, c’est sûr que se trimbaler avec une carte sur laquelle tout est marqué et bien visible de tous, c’est vachement mieux !

            Quelle bande de grands-pères sérieux.

  • Spitfire

    Et on me disais que le paiement sans contact est sécurisé :LOL:

    • Athena223

      Je suis du même avis, aucune application de payement sur mon smartphone.
      Et sur ma CB j’ai fait de la résistance mais j’ai accepter car débit maximum de 20€/ semaines ( ça limite les problèmes ).

      • Atlas

        Encore une fois le monde sera ralenti par des technologies pleines de bugs alors que si tout le monde faisait les choses bien comme Apple on aurait déjà ça partout depuis longtemps.

        • Athena223

          Tu te trompe à se sujet , pourquoi ?

          Pour des raisons Economique certaine société son pousser par leur investisseur de vendre rapidement.

          Si la situation impose la commercialisation de produit exempt de bug , il y aura beaucoup moins de développement car les investisseur vont devenir frileux.

          Quand au fait de dire que l’iphone sont totalement exempt de bug, alors la laisse moi rire, c’est pas mon domaine mais le bout de plastique qui manque pour avoir du réseau, des maj déployer et annulé car elle planté les smartphones , sans parler aussi des correctif en tous genre …

          • Atlas

            « Si la situation impose la commercialisation de produit exempt de bug ,
            il y aura beaucoup moins de développement car les investisseur vont
            devenir frileux. »

            ben écoute Apple a réussi à sortir TouchID en 2012 et personne n’a encore réussi à trouver de faille. Samsung a voulu copier Apple en 2013 et son capteur sur le S5 avait ensuite été hacké. C’est CA Samsung.

            Je n’ai jamais dit qu’iPhone n’a aucun bug. TouchID et Apple Pay ont peut-être, probablement, des bugs, mais on n’a rien vu pour l’instant.

          • Athena223

            TouchId inviolable ?
            Tu oublie l’histoire d’une politicienne allemande ( de mémoire ) ;-)

            Mais bon à quoi bon essayé de dialoguer avec quelques d’aussi fermer que toi …

          • Atlas

            Source nécessaire.

        • thomas

          Atlas on a compris que Apple c’était toute ta vie pas la peine de commenter sous chaque avis pour dire que Apple c’est mieux.

    • Flo974

      C’est sécurisé.

    • Atlas

      C’est sécurisé sur iOS.

  • lemaitre

    C’est là toute la différence entre les sévices et produits de Samsung et ceux d’Apple: la sécurité. Raison pour laquelle je préfère iOS à Android ou Mac à Windows. Apple qu’on le veuille ou non est au dessus des autres.

    • Athena223

      Jusqu’à se qu’une faille soit trouver.
      Mac pas de virus => ça a mis du temps mais il y en a.
      Cloud sécurisé => pas tant que cela finalement au vu des actualités il y a quelques mois.
      Etc

      Aucun système n’est parfait, il y a toujours une faille, il faut parfois beaucoup plus de temps pour la trouver au final.
      Après cela a forcément des conséquences sur l’ouverture du système, et au final c’est un choix entre sécurisation plus importante au détriment de l’ouverture ou l’ouverture au détriment de la sécurité ( si on fait n’importe quoi avec son smartphone).

      La ont parle aussi d’une application non disponible en France, mais aussi du fait qu’une fois disponible, les français étant très méfiant de nature n’utiliserons pas forcement non plus.

      • Atlas

        « ça a mis du temps mais il y en a. »
        il y en a tellement peu (genre un tous les six mois) qu’on le sait.

        « pas tant que cela finalement au vu des actualités il y a quelques mois »
        tu parles du scandale où les gens avaient mis des mots de passe de merde et pas activé la double vérification?

        • crachoveride

          Il me semble qu’il n’y avait pas de double vérification à ce moment la, et que c’est justement par la suite que cela a été rajouté non? Ainsi que le nombre de tentatives limité.

          • Atlas

            Il y avait la double vérification mais en effet pas de limite max ce qui était une grosse erreur de la part d’Apple.

      • lemaitre

        Je suis sur mac depuis plus de dix ans et je n’ai jamais eu de virus ni de manace. Pareil pour ma famille, par contre les amis et au boulot où c’est windaube 😱

        • Athena223

          Je suis sous windows depuis toujours et ça remonte a prêt de 10 ans mon dernier virus ;-)
          Et maintenant j’utilise même l’anti-virus de windows ( par principe plus qu’autre chose ) , après quand on sais se que l’on fait …
          Il en va de même sur mes smartphone sous Android, j’ai jamais eu de problème malgré l’installation de Beta etc .

          Le produit est liée au consommateur, celui qui fera n’importe quoi , même avec le meilleur produit du monde aura des problèmes a un moment ou un autre. Et cela peut importe l’environnement qu’il détient ou utilise.

          Suffit de regarder des novices qui brick leur Iphone/Android a vouloir avoir plus de droit ou fonctionnalité.
          Mais croire que l’environnement iOs ou Mac est inviolable c’est se bercer d’illusion.
          Qu’il soit à l’heure actuel plus sécurisé , oui, je veux bien l’admettre, mais par contre il faut prendre en compte le fait que le manque d’ouverture du produit restreint a pyer certaine application sans alternative gratuite ou enferme un peu plus a consommer la même marques pour une question de compatibilité.

        • John

          Idem sur mac depuis des année et aucun virus !!

        • crachoveride

          Idem sur windows et ça fait bien plus de 10 ans :) par contre des malware j’en ai déjà eu sur les 2 os. Le problème se situe souvent entre la chaise et l’écran ^^

          • lemaitre

            Vrai en partie

    • jpd514

      « produits et sévices »
      Ici, permets moi de te corriger, on dit ; les produits et sERvices de Samsung ce qui est juste, mais on peut dire ; les produits et sÉvices d’Apple ce qui est très juste aussi.

      Appliqué à Apple, le mot « sévice » est un choix judicieux

  • jpd514

    Personne n’a encore perdu un denier sous Samsung Pay alors que sous Apple Pay les fraudes sont de l’ordre de 6% par 100$, selon Cherian Abraham de Drop Labs, cité dans le Los Angeles Time.

    Source: « So much for the claim that Apple Pay would be ‘secure’. »

    Fraudes:
    Apple Pay 6% par 100$
    Samsung 0% par 100$

    Permettez que je continue avec Samsung Pay ?

    • John

      UNE FRAUDE N’EST PAS UN HACK ! Ne pas confondre la raquette de ping pong avec la quequette à king Kong Mdr Aucun hack n’a été trouvé sur apple pay a ce jour ( Je ne compte pas la méthode de récupération de l’empreinte via de la pate a modelé bla bla bla qui est tout sauf du hack ) il y a aussi plus de fraude carte bancaire que cheque tout simplement par ce que ce dernier est beaucoup moins utilisé idem pour samsung Pay :)

    • Atlas

      Est-ce que tu as lu l’article en question?

      La fraude qui est décrite est le fait que des voleurs en possession de cartes de crédit volées peuvent les ajouter à Apple Pay.

      Les cartes sont déjà VOLEES. Si l’ajout sur Apple Pay peut se faire c’est que la BANQUE ne vérifie pas assez et en aucun cas ce n’est la faute d’Apple. La même chose pourrait arriver sur Samsung Pay, d’ailleurs même plus facilement car Samsung Pay ne demande pas d’autorisation de la banque pour les paiements magnétiques.

      Donc oui, il n’y a jamais eu de hack d’Apple Pay et Samsung code comme de la merde, mais ça on l’a toujours su.

      • jpd514

        L’article en question et les experts en sécurités reconnaîssent que la faute est celle d’Apple.

        Si on demandait à ceux qui utilisent le paiement mobile s’ils préférent être « fraudé » à 6% du 100$ par Apple Pay ou être « hacké » à 0% du 100$ sous Samsung Pay, les plus intelligents opteraient pour le 0% de Samsung

        Pas toi

        • Atlas

          Je ne vais pas répéter mon commentaire, puisque visiblement tu préfère faire semblant de ne pas avoir compris ce que j’ai écris. La même chose s’applique à Samsung, et c’est la faute des banques s’ils acceptent n’importe quoi. J’utilise Apple Pay et quand j’ai ajouté ma carte la banque m’a contacté pour vérifier si c’était bien moi.

          Et puis franchement j’ai envie de dire, achète-toi un cerveau. Serieusement tu crois que s’il y avait 6% de fraude avec Apple Pay ça ne se saurait pas? Non mais allô quoi.

          • jpd514

            Le mécanisme de vérification d’Apple Pay que tu décris ici te laisse entre les mains de fraudeurs. 6% de fraude par 100$ chez Apple Pay.

            Le mécanisme de sécurité de Samsung est absolument étanche et ne requiert pas de telles interventions de possibles fraudeurs. 0% de fraude ou de hack par 100$ chez Samsung Pay

          • Atlas

            Petite question : ça veut dire quoi « 6% de fraude par 100$ » ?

          • jpd514

            Donc tu n’as pas lu l’article en question?

            Tu ne commentes donc pas en connaissance de cause, tu ne fais que du vent…

            Change ton pseudonyme, je te reconnaîtrais mieux sous le pseudonyme Apple Air

          • Atlas

            L’article parle de 6 $ de fraude pour 100 $. Donc je te demande de quoi tu parles quand tu dis 6% pour 100 $ car ça ne veut juste rien dire.

            On tourne en rond de toute façon : tu dis que Samsung Pay n’est pas susceptible à ce problème alors qu’il l’est encore plus en réalité et tu crois au chiffre de 6%, qui est totalement absurde.

    • lemaitre

      Non mais t’es sérieux là? Comme à si bien dit Atlas, t’as dû lire l’article en question de travers 😀. En aucun cas ces fraudes ne provenaient d’un hack d’Apple pay mais de CB volés. Tu crois que t’es le seul à suivre les actus? Nous aussi on suit sauf que comparé à toi on sait lire 😀

  • Atlas

    Ahah Samsung total amateur comme d’hab.
    Ils se foutent d’être certains que leur système sera sûr. Ils font le strict minimum. Ils avaient déjà fait la même chose avec le capteur d’empreintes du S5. Et tous les moutons oublient.

    • jpd514

      Alors, dis moi comment le plus grand vol de comptes Apple jamais causé par un virus a infecté 250 000 iPhone et iPad

  • 1messager

    Hors de question de payer avec mon smartphone pour moi!

  • jpd514

    Peut être préfères-tu ce IOS malware qui affecte les iPhones non jailbreaked:

    AceDeceiver
    Security firm discovers iOS malware that can infect non-jailbroken iPhones

    • John

      Il faut prendre en compte la dernière version d’un os si tu nous pond que iOS 8 est vulnérable bha ta cas etre moins con et le mètre à jour avec la dernière version qui est dénué de ce genre de problème … :)

      • jpd514

        Je suis moins con au point de n’avoir jamais touché à aucun produit affublé d’iOS

        • John

          Ton commentaire en dit long sur le niveau de ta connerie :) Quand on ne touche pas un produit on ne se permet pas de venir essayer de ramener sa science sur ce même produit ! Encore un sale gosse qui dit j’aime pas sans avoir gouter … A table je lui foutrai un taquet :) `

          • jpd514

            Je suis désolé de t’avoir contrarié.

            Je te promets que je vais désormais faire ce qu’il faut pour toucher à tout ce qui est : Bugs, Malwares, Cheats, Hacks et Frauds.

            Dès que je peux mettre la main sur un iPhone.

    • Atlas

      J’ai dit que le malware sur iOS n’existe pas peut-être? Oui, il y en a eu : moins de 10 et aucun actuellement contre des dizaines de milliers sur Android dont plein actuellement sur le store.
      Mais ce n’était pas le sujet.

      • jpd514

        Tu bafouilles Apple Air.
        Tu sais pertinemment que « iOS est un malware en sois »

        Bug, mise-à-jour, re-bug, re-mise-à-jour, re-re-bug, re-re-mise-à-jour… sans fin.

  • Atlas

    Ton lien ne parle pas d’une politicienne allemande. Évidemment qu’on peut tromper TouchID avec du matériel, une préparation et une heure de temps mais je m’attendais à un exemple réel, pas à un exercice de ce type.

    Pour rappel on était en train de parler de bug logiciel.