iPhone verrouillé : une faille permet de voler 10 000 dollars via Apple Pay

Une vidéo publiée par la chaine Veritasium montre comment des chercheurs ont siphonné 10 000 dollars depuis un iPhone verrouillé, en passant par Apple Pay. La faille exploite le mode Transport Express et ne touche que les cartes Visa. Elle est connue depuis 2021, et toujours pas corrigée.

Comment ça marche

Tout repose sur le mode Transport Express d'Apple Pay, une fonction qui permet de payer dans les transports sans déverrouiller l'iPhone. Les chercheurs des universités de Surrey et Birmingham ont trouvé le moyen de tromper l'iPhone en lui faisant croire qu'il communique avec un portique de transport. Le signal est en réalité relayé par un téléphone Android vers un terminal de paiement classique. En modifiant le code transmis, l'iPhone valide un paiement sans plafond. Dans la vidéo, les chercheurs ont ainsi prélevé 10 000 dollars sur l'iPhone verrouillé du YouTubeur MKBHD.

Visa seul dans la ligne de mire

La faille ne fonctionne qu'avec une carte Visa configurée en Transport Express sur un iPhone. Les cartes Mastercard et American Express ne sont pas concernées, car elles utilisent un protocole de vérification différent. Samsung Pay n'est pas non plus touché, même avec une carte Visa. Le problème vient d'un manque de contrôles combiné entre Apple et Visa : l'iPhone ne vérifie pas suffisamment la nature du terminal, et le réseau Visa ne bloque pas la transaction en retour.

Cinq ans sans correctif

La faille a été documentée en 2021 par les professeurs Ioana Boureanu et Tom Chothia. Cinq ans plus tard, rien n'a bougé. Apple dit que le problème vient de Visa. Visa répond que ses clients sont protégés par une politique de responsabilité zéro et que le risque est très peu probable en conditions réelles. Donc en gros, le deux géants se renvoient la balle, mais la faille est toujours bien présente. Seule parade pour les utilisateurs : retirer la carte Visa du mode Transport Express dans les réglages.