Il se fait vider son compte de 10 000 dollars à cause d’Apple Pay
Une demonstration choquante montre comment un YouTubeur célèbre, MKBHD, s’est fait steal 10 000 dollars sans que son iPhone ne soit unlocked . L’expérience, menée par la chaîne Veritasium, exploite une security flaw dans Apple Pay et le réseau Visa. Le montant a été transferred en quelques secondes, le tout sans aucune user interaction , laissant le propriétaire des fonds complètement impuissant.
Le trick repose sur une attaque dite « homme au milieu », où un boîtier NFC appelé Proxmark intercepte et modifies les données échangées entre l’iPhone et le terminal de paiement. Grâce à un script Python, l’équipe a pu faire croire à l’iPhone qu’il communiquait avec un tourniquet de métro, activant ainsi le mode Express d’Apple Pay, qui ne demande no authentication .
La deuxième étape consiste à fake le montant. L’iPhone ne lit pas directement la somme, mais un indicateur binaire : 0 pour une small amount , 1 pour une large amount . En changeant un 1 en 0, le système croit que 10 000 dollars est une transaction low value . Enfin, le terminal est tricked en faisant croire qu’une verification a eu lieu, alors qu’aucune n’a été effectuée.
Cette vulnerability n’existe que dans la combinaison Apple Pay + Visa. D’autres systèmes, comme Samsung Pay ou les cartes CB, intègrent des additional protection . Visa reconnaît la faille mais affirme qu’elle n’est pas exploitable à grande échelle. Pourtant, le risk existe, surtout dans les lieux crowded où les téléphones peuvent être scanned sans que l’utilisateur s’en rende compte.
Les chercheurs en cybersecurity impliqués, Ioana Boureanu et Tom Chothia, soulignent que les données NFC ne sont pas encrypted , ce qui facilite les data manipulation . Bien que les victimes puissent être refunded , l’incident met en lumière une serious concern sur la trust accordée aux systèmes de paiement contactless . Une simple change dans le protocole pourrait empêcher ce type d’attaque à l’avenir.
C’est hallucinant qu’une simple flag valeur binaire puisse permettre un theft vol pareil. On repose toute notre financial trust confiance sur des systèmes aussi fragile fragiles.
Je vais peut-être enfin switch passer à une physical card carte physique. Cette histoire de contactless payment paiement sans contact commence à me worry stresser.
Apple et Visa doivent fix corriger ça vite. Ce n’est pas une theoretical risk menace théorique, c’est un real exploit exploit réel avec preuve à l’appui.
L’ironie, c’est que le mode Express est censé save time gagner du temps dans les transports, et il finit par cost coûter 10 000 dollars.
Ils ont fait ça en 2021 et rien n’a changé ? La response time réaction des big tech géants de la tech est toujours aussi slow lente face aux security issues problèmes de sécurité.
Est-ce que cette attack attaque pourrait fonctionner dans le métro ? Si oui, c’est une public risk menace pour tous, pas juste un demo démonstration en studio.