Me contacter :

Nicolas Kerschenbaum

le paiement mobile... ou la prochaine menace sur smartphone

Les offres de paiement sur mobile commencent de plus en plus à se démocratiser.
Dernièrement c'est Google qui vient de mettre à disposition son système Google Wallet permettant de payer directement avec un téléphone. Pour le moment, ce service n'est compatible qu'avec le téléphone Nexus S 4G sur le réseau de l'opérateur américain Sprint.


Concrètement ce système de paiement repose sur la norme NFC (Near Field Communication). Celle-ci est une extension de celle utilisée par la RFID permettant de communiquer sans fil entre deux équipements séparés d'une distance de 10 centimètres au maximum.

Apple devrait mettre à disposition un système équivalent sur ses iPhone courant 2012 (peut être avec la commercialisation de l'iPhone 5 ?). Pour Apple, l'intégration devrait être plus simple du fait que les possesseurs de l'iPhone ont en principe, déjà leur numéro de carte bancaire stocké avec leur compte iTunes...

Le Wallet de Google fonctionne tel un portefeuille numérique classique, nécessitant de déchiffrer le contenu (ie les informations bancaires) via un code PIN. Ce code n'est composé que de 4 chiffres pour le moment...
Les informations bancaires chiffrées sont quant à elles stockées au sein d'une puce spécifique du téléphone et sont en principe uniquement accessibles par des programmes stockés directement sur cette même puce.

Toutefois, la mise en place d'un tel service pose quand même quelques problématiques de sécurité.
En effet, rappelons que les attaques sur smartphones sont en constantes augmentation.

On connait déjà les malwares qui hookent le service SMS afin d’effectuer des virements bancaires. Ils récupèrent le code OTP (One Time Password) envoyé par la banque pour valider la transaction.

Dans les prochains mois, on pourrait voir l'apparition de malwares beaucoup plus évolués.

Pour cela, plusieurs vecteurs d'attaque sont envisageables. On pourrait par exemple imaginer l'installation d'une application malicieuse, depuis le Market ou via l'exploitation d'une vulnérabilité au sein du navigateur internet, qui afficherait un fausse demande de déverrouillage du Wallet au prochain achat.
Les coordonnées GPS du téléphone ainsi que le code PIN seraient envoyées au pirate, qui n'aurait plus qu'à subtiliser le téléphone en question.

Si le téléphone a été rooté, je n'ose même pas imaginer les dégâts...
Un hook du programme de lecture du wallet permettrait d'extraire les données bancaires et de les envoyer aux pirates. Une duplication de la carte virtuelle pourrait donc potentiellement être réalisable. Reste à voir comment l'implémentation a été faite réellement.

Notons toutefois, qu'en cas de vol du téléphone, il sera toujours possible de révoquer la carte bancaire virtuelle.

J'attends impatiemment le lancement de ce service en France afin de pouvoir l'étudier plus en profondeur.