Un YouTubeur démontre une faille permettant de voler de l'argent sur un iPhone verrouillé

Apple promet à ses utilisateurs des niveaux élevés de sécurité et de confidentialité. Toutefois, un YouTubeur a récemment mis en évidence une vulnérabilité liée à la fonctionnalité de paiement sans contact d'Apple, laquelle pourrait permettre à un acteur malveillant de vider le compte bancaire d'un utilisateur d'iPhone sans même avoir à déverrouiller l'appareil. Cette vulnérabilité spécifique, surnommée « attaque de l'homme du milieu » (*Man-in-the-Middle*), repose sur l'utilisation d'une série de dispositifs visant à tromper la puce NFC d'un iPhone, en lui faisant croire qu'elle est en contact avec un terminal de point de vente (TPV) ou un valideur de transport en commun. Le YouTubeur a collaboré avec deux experts en cybersécurité pour démontrer comment cette faille — qui aurait été découverte il y a déjà cinq ans — peut être exploitée.

Le mode « Express Transit » d'Apple utilisé pour effectuer des paiements depuis un iPhone verrouillé
Dans une nouvelle vidéo publiée sur la chaîne YouTube Veritasium, Henry van Dyck démontre comment une vulnérabilité — qui aurait été découverte en 2021 — peut être exploitée pour dérober de l'argent depuis un iPhone verrouillé. Pour ce faire, il effectue une transaction à partir d'un iPhone verrouillé appartenant au YouTubeur spécialisé dans la technologie Marques Brownlee, plus connu sous le pseudonyme MKBHD. Au début de la vidéo, il pose l'appareil sur un dispositif appelé « Proxmark » — un lecteur NFC tiers — qui est connecté à un ordinateur portable.

L'iPhone aurait échangé des informations de transaction avec un dispositif Proxmark lorsqu'il y était posé ; ces données ont ensuite été transmises à un ordinateur portable. Les données de transaction sont alors modifiées sur l'ordinateur à l'aide d'un script Python. L'ordinateur portable relaie ensuite ces données modifiées vers un autre téléphone. Lorsque ce second téléphone est présenté devant un terminal de paiement (PoS), le terminal et l'iPhone sont tous deux trompés, croyant communiquer directement l'un avec l'autre, ce qui aboutit à un transfert de fonds réussi depuis le téléphone.

Le YouTubeur a réussi à dérober 10 000 $ (soit environ 933 000 roupies) depuis l'iPhone 17 Pro de Brownlee, sans même toucher l'appareil ni le déverrouiller. La chaîne YouTube a collaboré avec des experts en cybersécurité et des professeurs d'université — Ioana Boureanu et Tom Chothia — qui ont expliqué que cette prouesse était rendue possible par une vulnérabilité connue du « Mode Express Transit » d'Apple. Ce mode permet aux utilisateurs d'effectuer des paiements auprès de divers terminaux de transport, installés notamment dans les bus urbains et les stations de métro, sans avoir à déverrouiller leur smartphone.

Ils ont également mis en garde contre le fait qu'il n'existe aucune limite quant au montant pouvant être dérobé sur le compte d'un utilisateur par l'exploitation de cette vulnérabilité. Ils ont déclaré : « La seule limite est le montant dont dispose la personne sur son compte bancaire. » En entrant dans les détails, les professeurs ont souligné que lorsqu'un iPhone est présenté devant un terminal de transport, il échange un code avec la fonction de paiement sans contact d'Apple afin d'authentifier la transaction. Ensuite, il identifie la carte de transport pour transférer les fonds avec succès. Toutefois, cette faille ne peut être exploitée qu'avec une carte de transport Visa, en raison du système de vérification utilisé par la société gérant la passerelle de paiement.

Cependant, la vidéo montre que ce code peut être intercepté et retransmis vers un appareil tiers à l'aide d'un Proxmark ou d'un dispositif similaire. Or, l'iPhone s'attend également à recevoir en retour un code unique, rédigé en binaire. À la fin de ce premier message binaire, le chiffre doit impérativement être un « 1 » ; cette valeur sert à l'authentification des données hors ligne pour les transactions en ligne.

Cependant, un terminal de point de vente (TPV) classique renvoie généralement ce paramètre spécifique avec la valeur « 0 ». Par conséquent, un acteur malveillant peut intercepter ce message et en modifier la valeur pour faire croire à l'iPhone qu'il communique avec un terminal de transport authentifié.

De la même manière, ce code binaire peut être modifié pour faire croire à l'iPhone que la transaction est d'un montant inférieur, rendant ainsi inutile l'authentification manuelle par données biométriques (reconnaissance faciale ou empreinte digitale). Par ailleurs, le code est à nouveau modifié, cette fois à l'aide d'un script Python, pour faire croire au terminal de paiement que le client a validé la transaction par authentification biométrique.

Le YouTubeur affirme qu'Apple a délibérément laissé non chiffrés certains « octets magiques » (magic bytes) liés aux transports ainsi que des indicateurs EMV — des données échangées entre les terminaux de paiement ou de transport et l'iPhone. Il a ajouté que cette décision s'explique par le fait que la fonction de paiement sans contact est utilisée sur une grande variété de lecteurs et dans de multiples environnements, ce qui rendrait le chiffrement de ces données particulièrement complexe.

La chaîne a également sollicité une réaction de la part d'Apple ; le géant technologique de Cupertino a répondu : « Il s'agit d'une problématique inhérente au système Visa. » L'entreprise a par ailleurs indiqué à la chaîne YouTube que Visa « ne croit pas » qu'une telle fraude puisse se produire « dans le monde réel », et que ses clients sont couverts par la politique de « responsabilité zéro » de Visa.