Une faille d’Apple Pay vient-elle d’être dévoilée via le système de paiement du métro de New-York ? Pas si vite… Joseph Cox de 404media affirme en tout cas avoir découvert une faille d’Apple Pay via le système de paiement du MTA (Metropolitan Transportation Authority), soit le métro de New-York. Cox déclare avoir été en mesure de « suivre » un voyageur à l’aide des détails de sa carte de crédit et, sans fournir d’autres explications, affirme qu’il en est de même si la carte de crédit est rattachée à Apple Pay.

Metro New York

 « Avec son consentement (du passager, Ndlr), j’avais saisi les informations de la carte de crédit du passager – des données qui sont souvent faciles à acheter sur des marchés criminels, ou qui pourraient être triviales à obtenir – et je les avais saisies sur le site MTA d’OMNY, le réseau sans contact du système de paiement du métro. » explique Cox. « Après quelques secondes, le site (de la MTA, Ndlr) a fourni  l’historique de voyage du passager au cours des 7 derniers jours, sans qu’aucune autre vérification ne soit requise. »

Les faits décrits prouvent bel et bien que le système de la MTA ne fonctionne pas comme attendu, mais à ce stade, il n’est cependant pas du tout certain qu’Apple Pay soit concerné, sachant que lors d’une transaction, le système de paiement d’Apple ne transmet pas les informations de carte de crédit d’un utilisateur mais uniquement un code de vérification à usage unique. De fait, Cox n’a pas reproduit l’expérience avec un combo Apple Card/Apple Pay. Il se trouve en outre que les informations de la carte de crédit sont aussi enregistrées auprès du système de paiement sans contact OMNY de MTA, ce qui indiquerait alors que la faille n’a probablement rien à voir avec le système de paiement rattaché à la carte (Apple Pay ou une banque classique).