Articles en vedette
- Détails
- Actualités
Une faille dans Apple Pay permet de payer sans validation
Une nouvelle étude de sécurité affirme qu'une faille dans le mode transport express d'Apple Pay peut être utilisée pour effectuer des paiements par carte Visa non autorisés et contourner la limite sans contact.
Apple et VISA sont concernés par le bug
Des chercheurs des départements d'informatique des universités de Birmingham et de Surrey au Royaume-Uni ont publié leurs conclusions sur la façon dont une attaque active de type Man-in-the-Middle pourrait être utilisée pour contourner l'écran de verrouillage Apple Pay pour tout iPhone doté d'une carte Visa configurée en mode transit. Le document indique :
L'écran de verrouillage Apple Pay peut être contourné pour tout iPhone doté d'une carte Visa configurée en mode transit. La limite sans contact peut également être contournée, ce qui permet des transactions sans contact illimitées à partir d'un iPhone verrouillé. Un attaquant n'a besoin que d'un iPhone volé et sous tension. Les transactions pourraient également être relayées à partir d'un iPhone à l'intérieur du sac de quelqu'un, à son insu. L'attaquant n'a besoin d'aucune aide du commerçant et les contrôles de détection de la fraude backend n'ont pas arrêté aucun de nos paiements de test.
Les chercheurs ont même fait la démonstration en vidéo avec un paiement de 1 000 £ prélevé sur un iPhone verrouillé à l'aide d'un lecteur de cartes bancaires standard que vous trouverez dans n'importe quel magasin. Les chercheurs affirment que l'attaque "est rendue possible par une combinaison de défauts dans Apple Pay et le système de Visa", de sorte qu'elle ne fonctionnerait pas avec une autre carte comme Mastercard, ou avec Visa sur toute autre plate-forme telle que Samsung ou Google Play.
Les chercheurs disent qu'Apple ou Visa "pourraient atténuer cette attaque par eux-mêmes", mais après avoir présenté les informations "il y a des mois", ils n'ont pas toujours pas corrigé le système et que la vulnérabilité reste en ligne. En fait, les experts recommandent que tous les utilisateurs d'iPhone vérifient qu'ils n'ont pas de carte Visa configurée en mode de transport. Dans le cas contraire, ils devraient la désactiver.
Selon la BBC, Apple affirme que le problème est chez son partenaire Visa :
Nous prenons très au sérieux toute menace pour la sécurité des utilisateurs. C'est une préoccupation avec un système Visa, mais Visa ne pense pas que ce type de fraude soit susceptible de se produire dans le monde réel compte tenu des multiples niveaux de sécurité en place.
Dans le cas peu probable où un paiement non autorisé se produirait, Visa a clairement indiqué que leurs titulaires de carte sont protégés par la politique de responsabilité zéro de Visa.
De son côté, Visa affirme que "les cartes Visa connectées à Apple Pay Express Transit sont sécurisées, et les titulaires de carte devraient continuer à les utiliser en toute confiance". Il a en outre déclaré que "les stratagèmes de fraude sans contact sont étudiées en laboratoire depuis plus d'une décennie et sont très difficiles à exécuter à grande échelle dans le monde réel".
L'un des chercheurs, le Dr. Andreea Radu, a déclaré au média que bien que l'attaque ait un degré élevé de complexité technique "les récompenses de l'attaque sont assez élevées" et pourraient donc motiver des personnes malveillantes.
- Détails
- Actualités
Apple livre une mise à jour pour restaurer correctement un iPhone ou un iPad à partir d'un Mac
macOS Big Sur écope aujourd'hui d'une « mise à jour de support pour les appareils » d'un poids de 195,6 Mo. Apple explique que ce logiciel « garantit » la mise à jour et la restauration appropriées pour les terminaux iOS et iPadOS avec un Mac. Difficile d'en savoir plus à ce stade, ce genre de correctif étant généralement intégré dans de nouvelles versions de macOS. Mais manifestement, il était urgent pour Apple de la livrer sans attendre, sans doute pour suivre la sortie de l’iPhone 13 et procéder aux restaurations des sauvegardes sur ce dernier.
- Détails
- Actualités
Les utilisateurs d'appareils anciens sont susceptibles de rencontrer des soucis sur le web à partir de demain, 30 septembre, à partir de 16h01. L'expiration d'un certificat racine va en effet empêcher la quasi-totalité des navigateurs de charger des sites internet sur ces terminaux. De vieux iPhone et Mac sont potentiellement concernés.
Qu’est-ce qu’un certificat?
Un certificat est une pièce jointe à un document électronique qui permet le transfert sécurisé d’informations sur Internet. Les certificats sont utilisés par les navigateurs Web et les apps de messagerie électronique et d’envoi de messages texte.
Lorsque vous communiquez avec un site sécurisé, les informations échangées avec ce site sont chiffrées. Cela protège vos informations d’ouverture de session, vos numéros de carte de crédit, vos adresses et d’autres données sécurisées.
Sous macOS, les certificats font partie de votre identité numérique et sont stockés dans votre trousseau. Trousseaux d’accès vous permet de gérer vos certificats et vos trousseaux.
Les certificats sont émis par des organisations de confiance, telles que VeriSign, Inc. ou RSA Data Security, Inc. Lorsque vous consultez un site Web sécurisé, macOS vérifie le certificat du site et le compare avec les certificats légitimes. Si le certificat du site Web n’est pas reconnu, ou si le site n’en possède pas, vous recevez un message.
La validité du certificat est vérifiée électroniquement à l’aide de l’infrastructure de clé publique, ou PKI. Un certificat comprend votre clé publique, l’identité de l’organisation, l’autorité de certification (ou AC) qui a signé votre certificat, ainsi que d’autres données qui peuvent être associées à votre identité.
Un certificat est généralement limité à des utilisations particulières, telles que les signatures numériques, le chiffrement et l’utilisation avec des serveurs Web. Cela s’appelle la restriction d’« utilisation de clé ». Bien qu’il soit possible de créer un certificat pour plusieurs utilisations, il est inhabituel d’en créer un pour toutes les utilisations possibles. La création d’un certificat pour plusieurs utilisations possibles est également moins sûre.
Un certificat n’est valide que pendant une durée limitée, après laquelle il devient non valide et doit être remplacé par une version plus récente. L’autorité de certification peut également révoquer un certificat avant son expiration.
Le coupable, c'est le certificat IdentTrust DST Root CA X3 utilisé par Let's Encrypt, une organisation qui s'est donné pour mission de faire passer les sites en HTTPS, plus sécurisé que le HTTP (lire : Let’s Encrypt a distribué un milliard de certificats HTTPS gratuits). Le problème ici, c'est qu'un certificat de sécurité expiré empêche le navigateur de valider la conformité du site web visité.
L'internaute va donc se retrouver avec des services en ligne indisponibles.
Le chercheur en sécurité Scott Helme a identifié le problème sur son blog. Il faut tout d'abord savoir que pour l'immense majorité des internautes, ce 30 septembre sera un jeudi comme un autre. Ceux qui possèdent un Mac équipé de MacOS 10.12.1 (Sierra) et au-delà, ainsi que ceux qui ont un iPhone au-delà d'iOS 10 (l'iPhone 5 peut accueillir cette version) seront épargnés, tout comme les utilisateurs d'Android 7.1.11 et plus, ainsi que ceux sous Windows XP SP3 et au-delà.
Ce qui signifie que les utilisateurs de produits équipés de versions antérieures de leurs systèmes d'exploitation rencontreront des soucis sur internet à partir du 30/09/2021.
Pour les Mac, il est toujours possible de changer le certificat « à la main », à partir de l'application Trousseaux d'accès.
Il faut remplacer l'IdentTrust DST Root CA X3 par l'ISRG Root X1, fourni par Let's Encrypt, dont la date de validité court jusqu'en 2035. Des informations techniques supplémentaires sont disponibles sur le site d'OpenSSL.
Autre solution : utiliser Firefox qui est livré avec sa propre liste de certificats racine, rappelle Let's Encrypt. Pour tous les autres appareils, il n'y aura pas de souci s'ils sont mis à jour régulièrement.
1. Il n'y aura pas de difficulté sur les appareils Android à partir de la version 2.3.6 s'ils ont reçu le certificat ISRG Root X1.
- Détails
- Assistance Mac Lv1
Diagnostic de 20 minutes avec un technicien Assistance Mac Pro.
