Vos comptes Paypal et Google Pay sont-ils vulnérables à une attaque sans contact ?

L'application Paypal sur iPhone

EN TOUTE DISCRÉTION - En Allemagne, des dizaines d'utilisateurs de PayPal ont découvert des transactions frauduleuses sur leur relevé, pour plusieurs milliers d'euros parfois. Une faille de sécurité dont Paypal aurait été averti il y a un an déjà.

Des achats en ligne, souvent d'objets high-tech, pour des centaines, voire des milliers d'euros. Voilà ce qu'ont découvert sur leur compte en ligne des clients de PayPal, dont nombre d'entre eux sont situés en Allemagne. Des achats frauduleux effectués aux États-Unis, notamment dans des magasins Target, sans que l'on sache précisément si les articles ont été payés sur place, ou commandés et payés en ligne. Jusque-là, la piste des fraudeurs semble un peu floue.

Elle se précise quand on découvre que toutes les victimes ont un point commun : elles ont connecté leur compte Paypal au système de paiement mobile Google Pay, qui permet d'effectuer des paiements sans contact dans les commerces. Un détail qui a mis la puce à l'oreille de Markus Penske, un chercheur allemand en sécurité informatique. Et pour cause : lui dit avoir rapporté à Paypal une faille mettant en jeu la connexion des deux systèmes, faille rapportée... il y a un an déjà.

Pour imaginer comment la fraude a pu se dérouler, il faut entrer dans le détail du système. Quand on connecte son compte PayPal à Google Pay, PayPal crée une carte de crédit virtuelle. Elle sera ajoutée à l'application Google Pay, afin de permettre de débiter ses achats directement sur son compte PayPal. Or, selon le chercheur, si d'autres systèmes de cartes virtuelles existent, la faille de sécurité de celle de Paypal s'explique par deux détails d'importance. D'abord, là où l'essentiel des cartes virtuelles ne sont utilisables que dans des commerces physiques, celle de Paypal peut être utilisée en ligne. En outre, le cryptogramme visuel, ce code CVC à trois chiffres utilisé pour les achats en ligne, serait ignoré par le système, qui accepterait n'importe quel code.

L'histoire ne dit pas pour l'instant exactement comment les numéros de cartes virtuelles ont été collectés par les fraudeurs. Deux hypothèses possibles : soit les numéros ont été "devinés" par un robot capable d'essayer des milliers de numéros au hasard, avec des dates de validité courtes. Soit les numéros de ces cartes virtuelles auraient pu être récoltés à la volée, avec un lecteur passant à portée des mobiles des victimes. Cela pourrait expliquer qu'elles se trouvent en majorité en Allemagne. Dernière hypothèse, peut-être la moins probable : que les numéros aient été piratés à l'aide d'un malware installé sur les smartphones des victimes, ce qui impliquerait d'autres failles encore.

Lire aussi

Comment se protéger ?

Après ce qui ressemble à un sérieux retard à l'allumage, PayPal promet que la faille a été comblée, sans plus de détails. Si le procédé nécessite d'avoir joint Paypal et Google Pay sur son mobile - ce qui réduit le nombre de victimes potentielles -, il n'y a pas de raison que la fraude n'ait touché que l'Allemagne. 

On ne saurait donc trop vous conseiller de vérifier vos dernières transactions sur Paypal, dans la rubrique "Activités". Une mesure de protection simple, mais indispensable, le pionnier du paiement restant l'une des cibles préférées des fraudeurs en tous genres. PayPal promet que cette fois encore, toute transaction frauduleuse sera remboursée.

En vidéo

Paiements en ligne : comment les autorités veulent renforcer la sécurité

-

Sur le même sujet

Les articles les plus lus

EN DIRECT - "Lever le confinement le 15 décembre, ce ne sera pas baisser la garde", souligne Gabriel Attal

CARTE - Confinement : regardez jusqu’où vous pourrez sortir autour de chez vous dès le 28 novembre

"Cessons de dire des bêtises" : taxé de racisme après sa parodie d’Aya Nakamura, Omar Sy se défend

Allègement du confinement : les mesures détaillées jeudi par Jean Castex

L'ouverture des stations de ski "impossible" pour les vacances de Noël

Lire et commenter