Une faille exploitant une carte bancaire de Visa liée à un iPhone verrouillé peut permettre de détourner de l’argent via le NFC, mais l’attaque exige un accès physique, du matériel spécialisé et une préparation lourde. La démonstration relance moins la question d’un iPhone déverrouillé à distance que celle des limites du mode Express associé à Visa.

iPhone NFC Paiement

La démonstration mise en avant par la chaîne YouTube Veritasium repose sur un scénario très encadré. Des chercheurs en cybersécurité de l’université de Surrey et de l’université de Birmingham ont conçu cette attaque pour contourner l’état verrouillé d’un iPhone et prélever des fonds. L’exploit, rendu public une première fois en 2021, contourne aussi les limites habituelles de montant des transactions.

Veritasium l’a illustré en récupérant 10 000 dollars depuis l’iPhone verrouillé du YouTubeur Marques Brownlee (MKBHD). Mais cette démonstration n’équivaut pas à une méthode simple à reproduire en conditions réelles : elle suppose un accès physique à l’appareil visé et l’usage d’un équipement spécifique.

Une attaque qui imite un terminal de transport

Le mécanisme consiste à tromper l’iPhone pour lui faire croire qu’il règle un trajet sur une borne de transport en commun. Pour y parvenir, les chercheurs utilisent un lecteur de carte NFC qui intercepte la communication entre l’iPhone et un terminal de paiement sans contact au moment d’un paiement.

Ce lecteur NFC est relié à un ordinateur portable qui récupère les données de paiement et les transmet à un second téléphone qui est ensuite présenté sur un lecteur de carte légitime. L’appareil NFC doit aussi être réglé sur le même identifiant de terminal de transport qu’un vrai lecteur de transit.

La faille ne fonctionne donc pas comme un piratage générique du smartphone. Elle repose sur une chaîne technique précise, pensée pour exploiter une situation de paiement très particulière.

Le point faible concerne Visa, pas l’iPhone

L’attaque impose plusieurs conditions. La victime doit avoir activé le mode Express sur son iPhone pour les paiements et y avoir associé une carte bancaire Visa. Sans cette combinaison, l’exploit ne fonctionne pas.

Selon les chercheurs, il s’agit d’une faille liée au système de Visa plus que d’un problème propre à l’iPhone. Elle ne fonctionne ni avec une carte Mastercard ni avec une carte American Express, tous les deux utilisant d’autres méthodes de sécurité. Elle ne fonctionne pas non plus avec Samsung Pay sur les appareils Samsung.

Apple a résumé sa position dans une déclaration transmise à Veritasium :

Nous prenons très au sérieux toute menace pour la sécurité des utilisateurs. Il s’agit d’un sujet lié à un système de Visa, mais Visa ne pense pas que ce type de fraude soit susceptible de se produire dans le monde réel compte tenu des multiples couches de sécurité en place. Dans le cas peu probable où un paiement non autorisé se produirait, Visa a clairement indiqué que ses titulaires de carte sont protégés par la politique de responsabilité zéro de Visa.

De son côté, Visa a indiqué à Veritasium qu’une exploitation à grande échelle dans le monde réel était très improbable et que ce type de transaction pouvait être contesté. Les chercheurs recommandent aux utilisateurs de ne pas utiliser une carte Visa sur iPhone pour les usages liés au transport en commun, du moins s’ils ont le mode Express en place.