Les portefeuilles électroniques, comme Apple Pay, Google Pay et PayPal, devraient trouver preneur auprès de plus de cinq milliards de personnes, d’ici 2026. Selon des chercheurs de l’Université du Massachusetts à Amherst, cependant, si ces méthodes de paiement font la promotion d’une sécurité accrue par rapport aux modes traditionnels, elles s’appuient aussi sur des stratégies d’identification éculées et favorisent la facilité, plutôt que la sécurité. Ce faisant, affirment ces spécialistes, ces portefeuilles électroniques sont vulnérables.
« Nous avons découvert que ces systèmes ne sont pas sécuritaires », affirme ainsi Taqi Raza, professeur adjoint en génie électrique et informatique, et coauteur de l’étude. « La principale explication est qu’ils s’appuient sur une confiance sans condition entre le détenteur de la carte de paiement, le portefeuille et la banque. »
Dans un contexte normal d’utilisation d’un portefeuille numérique, les utilisateurs commencent par entrer leur numéro de carte de crédit ou de débit, appelé numéro de compte principal (NCP) dans ledit portefeuille.
L’identité de l’utilisateur est authentifiée à l’aide d’une information personnelle, comme le code postal ou les derniers chiffres du numéro d’assurance sociale.
Puis, rappellent les chercheurs, lorsqu’un achat est effectué, le portefeuille dissimule le NCP et partage un « jeton » avec le vendeur. Celui-ci attache ensuite le jeton à la transaction; l’information est ensuite transmise à travers le réseau de paiement de la banque, qui reconvertit le jeton en NCP. La banque résout enfin le paiement avec le vendeur, au nom du client, sans jamais révéler le NCP au détaillant.
« Malheureusement, il existe des façons, pour des gens mal intentionnés, de contourner ce système et d’effectuer des achats avec les cartes de crédit d’autres personnes », écrivent les auteurs.
Ceux-ci ont précisé avoir informé les compagnies visées par ces failles avant la publication de leurs travaux, leur donnant amplement de temps pour corriger les problèmes.
Au dire des chercheurs, il existe (ou existait) ainsi plusieurs vulnérabilités au sein de ce système réputé comme étant particulièrement sécuritaire.
Tout d’abord vient la question de l’authentification initiale. « Toute personne mal intentionnée qui connaît le numéro de la carte peut prétendre en être le propriétaire », affirme le Pr Raza. « Le portefeuille numérique ne possède pas suffisamment de mécanismes pour déterminer si l’utilisateur de la carte en est réellement le propriétaire », a-t-il ajouté, avant d’indiquer que les méthodes d’identification existantes peuvent aisément être contournées.
Autre problème: lorsqu’une victime de fraude ou de vol signale le crime, les banques ne bloquent que les transactions effectuées avec la carte physique, non pas celles effectuées via un portefeuille numérique. Au dire des chercheurs, les banques tiennent pour acquis le fait que leur système d’identification est suffisamment sécuritaire pour éviter que des pirates ou voleurs n’ajoutent la carte de quelqu’un d’autre à leur portefeuille. Ce qui, souligne le Pr Raza, n’est pas le cas.
Une fois que les numéros de carte volés sont sauvegardés dans un portefeuille numérique, il est virtuellement impossible, pour les véritables détenteurs de ces cartes, de les désactiver. « Même si le propriétaire demande un remplacement de carte, les banques ne réidentifient pas les cartes enregistrées dans un portefeuille », soutient le Pr Raza. « Ce qu’ils font, c’est changer simplement le traçage du numéro virtuel vers le nouveau numéro de la carte physique. »
Un système fragile
Dans un cas où, par exemple, le numéro de la carte d’une victime se termine avec les chiffres 0123, un assaillant pourrait ajouter ce numéro à son portefeuille numérique et commencer à effectuer des achats. Puisque ces portefeuilles fonctionnent en envoyant un numéro virtuel à un détaillant, celui-ci reçoit ledit numéro virtuel et transmet le tout à une banque pour recevoir le paiement associé au numéro 0123.
Lorsque la victime découvre les paiements frauduleux et demande à la banque d’émettre une nouvelle carte, cette banque fournit une carte avec les numéros 4567, et remplace le numéro virtuel en coulisses: ABCD ne fait plus référence à 0123, mais plutôt à 4567.
Le portefeuille numérique commence alors à afficher la nouvelle carte à son utilisateur, sans même authentifier cette nouvelle carte. Les détaillants transmettent ensuite le code ABCD à la banque, code qui est maintenant lié à 4567, et la transaction est effectuée.
Toujours selon les chercheurs, les compagnies gérant les portefeuilles numériques sont tout aussi à blâmer. « Nous voulons que ces entreprises acceptent leur responsabilité, puisqu’elles sont à l’avant-plan lorsque ces transactions surviennent », a déclaré Raja Hasnain Anwar, le principal auteur de l’étude.
« Nous souhaitons que la coordination soit précise. C’est le concept au coeur de l’étude: la coordination actuelle est déficiente. »
Selon lui, plusieurs des problèmes évoqués dans l’étude découlent de nouvelles fonctionnalités offertes par les banques, « comme par exemple la possibilité de partager une carte avec votre famille, et donc enregistrer un même numéro sur plusieurs téléphones ».
« Ou si vous avez un abonnement à Netflix, la compagnie de carte de crédit ne veut pas que vous perdiez votre compte, alors elle continuera à vous facturer, même si votre carte est bloquée. Si les banques tentent de migrer toutes leurs plateformes de paiement vers l’univers numérique, alors elles doivent agir pour sécuriser le tout. Elles ne peuvent pas simplement s’appuyer sur la technologie existante pour y parvenir », a-t-il ajouté.
« C’est une question de sécurité par rapport à la facilité d’utilisation », a poursuivi le Pr Raza. « Et nous avons découvert que les banques favorisent la facilité, plutôt que la sécurité. Celle-ci est tenue pour acquise parce que les banques estiment que la vérification de l’identité, sur les appareils mobiles, est suffisante pour protéger le portefeuille électronique. Ce n’est pas le cas. »
Les chercheurs précisent toutefois que la faille spécifique découverte dans le cadre de leurs travaux a été corrigée. Ils encouragent malgré tout les consommateurs à s’appuyer sur plusieurs pratiques afin d’améliorer la sécurité de leur carte de crédit, notamment en activant les notifications lors de transactions, en examinant leurs relevés de compte fréquemment, ou encore en analysant la liste des appareils connectés à des cartes de crédit via leur banque ou leur application bancaire mobile.