Samsung Pay : une vulnérabilité permet de voler les cartes de crédit

Une vulnérabilité a été découverte dans Samsung Pay. Cette dernière permettrait de voler les cartes de crédit pour ensuite payer sans fil. La personne ayant découvert cette vulnérabilité en fait la démonstration en vidéo. 

Tout le monde s'est mis au paiement sans contact avec le smartphone. Que ça soit Apple et son Apple Pay qui vient d'arriver en France, Google ou encore Samsung. Tous les grands groupes proposent leurs solutions. En France on a aussi Orange qui propose cela.

Aujourd'hui on va s'intéresser plus particulièrement à la solution de Samsung. Malheureusement ce n'est pas pour une bonne nouvelle, en effet Samsung Pay fait face à une vulnérabilité très importante. Il serait possible de voler les données d'une carte de crédit sans fil pour ensuite l'utiliser pour payer sans fil.

Normalement cela est impossible, car Samsung Pay traduit les données de la carte de crédit en “jetons” et donc ne transmet pas directement les données de la carte. Mais un chercheur en sécurité, Salvador Mendoza, a découvert que ces jetons ne sont pas aussi sécurisés que cela et il en a fait la démonstration lors de la black Hat de Las Vegas.

Il explique que le problème avec ces jetons c'est que le séquencement de ces derniers est limité et il peut donc être prédit. Du coup après le premier jeton créé par Samsung Pay, le pirate serait en mesure de déterminer la suite des jetons.

Mendoza a fait la démonstration en envoyant un jeton à un ami au Mexique qui a pu payer sans contact grâce à un matériel d'usurpation d'identité sans fil alors même que le service n'est pas disponible dans le pays. Il a fait une autre démonstration que vous pouvez voir dans la vidéo à la fin.

Comme tous les chercheurs en sécurité, Mendoza a prévenu Samsung de la vulnérabilité. Cependant il ne sait pas si le constructeur a déjà réagi, mais connaissant la rapidité des mises à jours de sécurité de Samsung nul doute que cela sera bientôt fait.