Samsung répond aux affirmations d’un chercheur qui prétend que Samsung Pay, le service de paiement sans contact élaboré par le constructeur sud-coréen, révèle des failles dangereuses.

S’exprimant la semaine passée dans le cadre des événements Black Hat et Def Con, Salvador Mendoza, spécialiste de la sécurité des systèmes informatiques, a expliqué qu’il avait pénétré le système de tokenisation (attribution d’un jeton d’authentification) de Samsung Pay, clé de la sécurité du système.

La méthode employée par le chercheur consiste à intercepter ou à imiter les jetons d’authentification (tokens) qui remplacent les données réelles relatives aux cartes de crédit ou débit dans le cadre d’une transmission entre smartphone et terminal de paiement. Les jetons expirent 24 heures après avoir été générés et sont à usage unique.

Le document réalisé par Salvador Mendoza pourrait avoir des implications pour d’autres services de paiement utilisant un système similaire à celui employé par Samsung Pay.

L’informaticien affirme avoir discerné des routines récurrentes et identifiables dans la façon dont les jetons sont générés, ce qui permettrait en théorie à un hackers de créer les siens.

Dans un autre scénario, un hacker pourrait brouiller une transaction de façon à forcer Samsung Pay à générer un nouveau jeton. L’ancien jeton serait alors intercepté et utilisé par l’attaquant pour procéder à un paiement frauduleux.

Salvador Mendoza a également présenté un scénario dans lequel un hacker demande à utilisateur de lui expliquer comment marche Samsung Pay. Le hacker utilise alors un appareil attaché à son poignet pour capturer le jeton, et le détourner ensuite à son profit.

Samsung répond

La première réaction de Samsung, rapportée par le journal en ligne The Register, a été de qualifier de « simplement fausses » les accusations portées contre son service de paiement. Mais Salvador Mendoza a persisté dans ses affirmation et le groupe coréen a fini par publier une réponse sur un blog consacré à la sécurité.

« Garantir la sécurité des informations relatives au paiement est une priorité absolue pour Samsung Pay. C’est pourquoi Samsung Pay bénéficie des solutions les plus avancées en cette matière », commence par réaffirmer le rédacteur du post.

« Il est important de noter que Samsung Pay ne s’appuie pas sur l’algorithme présenté lors des rencontres Black Hat comme prétendument destiné à encrypter les données de paiement ou générer des cryptogrammes », ajoute l’auteur.

Le même post affirme en outre que les possibilités de capture d’un jeton par le biais d’un appareil spécialisé sont « extrêmement peu probables », sans pour autant être totalement écartées.

« Pour que ce genre d’attaque fonctionne, des conditions aussi multiples que difficiles doivent être réunies », précise le rédacteur qui explique par exemple que le hacker équipé doit se trouver à proximité immédiate de sa victime, ce qui complique la capture.

Et même si le fraudeur capture le signal de paiement original, il doit s’assurer que ce dernier ne parvienne pas au lecteur de carte pour approbation, ce qui rendrait le jeton capturé caduc.

Un tel scénario implique que le malfaiteur soit équipé d’un équipement capable de brouiller la connexion entre le téléphone et le terminal de paiement, ou conclut une transaction assez rapidement pour que le signal légitime n’ait pas le temps d’atteindre le terminal et l’émetteur de la carte.

« Parce que les utilisateurs génèrent en général des cryptogrammes juste avant le paiement au point de vente, ces conditions seraient très difficiles à mettre en pratique », conclut le post.