NFC : une faille dans Google Wallet ?

Sécurité - Grâce à un logiciel dédié, il serait possible d'accéder à toutes les coordonnées de cartes de crédit stockées dans l'application de paiement mobile.

Google Wallet, le service de paiement sans contact (NFC) via un smartphone lancé par le géant de la recherche est-il bien protégé ? Pour Joshua Rubin, chercheur chez Zvelo Labs, la réponse est non.

Le spécialiste aurait découvert une faille de sécurité exploitable à travers un logiciel. Dans une vidéo, il démontre comment décrypter rapidement le code de sécurité de l'utilisateur, un code PIN à 4 chiffres.

Code PIN

Un pirate pourrait ainsi accéder à toutes les coordonnées de cartes de crédit stockées dans l'application, et se servir du téléphone pour réaliser ses achats. Reste que le téléphone doit être rooté (débloqué et débarrassé des surcouches opérateur) pour exécuter le logiciel de force brute capable de trouver le code PIN. Ce qui n'est pas le cas de la grande majorité des terminaux en circulation.

Joshua Rubin déclare avoir alerté Google qui travaillerait sur un correctif. Même si le risque concerne une part assez faible d'utilisateurs, Google devra au plus vite rassurer quant à la sécurité de sa solution, sécurité qui est au centre de l'adoption du NFC.

Rappelons que Wallet s'articule autour d'une application gratuite à installer sur un smartphone Android. Il suffit alors d'approcher son terminal d'un boîtier dédié (chez les commerçants participants) pour effectuer un achat, profiter d'offres spéciales ou valider des cartes de fidélité.

Côté sécurité, divers systèmes de cryptage protègent le système, notamment grâce à la technologie de la société First Data. Le système est débranché chaque fois que l'écran est éteint, et en cas de perte, un coup de fil devrait suffire à désactiver toute la fonction paiement.

La puce utilisée est "aussi sécurisée que celles utilisées dans les passeports" et un code PIN est nécessaire avant chaque paiement. C'est à ce niveau que la faille serait présente.