Franceinfo relate les mésaventures d’un utilisateur de montre connectée (dont on ignore la marque) qui a eu la désagréable surprise de découvrir un débit sur son compte bancaire d’un montant de 2.263 euros. Des dépenses provenant de deux opérations qu’il assure n’avoir jamais autorisées, et qui auraient été réalisées dans une discothèque. Or, cet utilisateur affirme n’avoir pas effectué d’achats dans cet établissement.
Une arnaque à 2.263 euros
Il a donc réclamé le remboursement auprès de sa banque, qui refuse au prétexte que les opérations en question ne constitueraient pas un cas de fraude. Le client estime au contraire que la fraude est caractérisée, puisque le plafond du paiement sans contact de sa montre ne dépasse pas 30 euros normalement.
La banque explique que son client n’aurait pas pris les mesures suffisantes à la bonne conservation de ses données personnelles, étant entendu que la montre n’a pas été volée ou perdue. « Si toutefois monsieur X n’est pas réellement à l’initiative de ces opérations, ces dernières ont vraisemblablement été effectuées par un proche ou un tiers qui aurait eu connaissance du code secret permettant le déverrouillage de la montre pendant quelques minutes », écrit la médiatrice.
Malgré le plafonnement du paiement sans contact, il reste possible de réaliser des fraudes en « sniffant » les données bancaires via NFC (il faut néanmoins se trouver au plus près de la victime, mais dans le cas d’une discothèque, ce n’est pas improbable). La prolifération des montres connectées et plus généralement des smartphones équipés d’un système de paiement sans contact représente une opportunité pour les voleurs les plus audacieux.
Les litiges déclarés auprès de la médiation de la fédération bancaire française ont augmenté de près de 29% l’an dernier. L’occasion de se renseigner sur les options permettant de désactiver la possibilité de payer sans contact sur sa montre connectée.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Le genre de news qui me fait dire que je ne suis pas prêt de passer au paiement sans contact avec les objets connectés. Gros pouce vers les bas pour les banques qui par leur attitude se font l’alliées des pirates informatiques.
Fake … avant de publier des article à clic on se renseigne ..
Sur la plupart des montres il y a des manipulations à faire pour entamer le paiement.
Exemple sur samsung , clic long sur la bouton du haut pour lancer samsung pay , choisir sa carte si on en as plusieurs , valider , tapper son code, et la montre passe en paiement pour 30secondes avec des vibrations et c est valable pour 1 seul paiement… 2200euros il faut refaire cette manipulation 80 fois …
Bref ça pue le fake
J’ai pour ma part une Apple Watch impossible de payer avec sans connaître le code PIN de la montre, puisque une fois retirer de mon poignet ses services ne sont plus disponible. Donc article bidon comme hélas trop souvent sur ce site.
Ne croyez pas tout ce qui est dit, faite des recherches, cet article est bidon aucune montre connectée ne permet le snif, il faut un code !!!
Tout est faux dans cet article :
– pas de plafond de paiement en sans contact avec montre / téléphone (uniquement celui d’un paiement “avec contact” de la carte qui est enregistrée)
– impossible de payer sans déverrouiller la montre + lancer l’application de paiement / déverrouiller le téléphone uniquement dans le cas du téléphone (il y a une vérification de l’empreinte si le téléphone est déverrouillé depuis trop longtemps)
– impossible de sniffer étant donné que le paiement s’effectue à l’aide d’un jeton qui ne peut être généré qu’après avoir effectué les éléments évoqués ci-dessus
Le seul moyen que quelqu’un ait pu effectuer ce paiement sans l’accord de ce monsieur serait qu’il ait déverrouillé sa montre, lancé l’application de paiement, et attendu le bras balant à côté d’une personne avec un terminal de paiement, prêt à recevoir un paiement, pour le coller à la montre avant la fermeture automatique de l’application de paiement…
Autant dire qu’il est plus facile de récupérer le petit papier avec le code PIN de la carte rangé dans le portefeuille.
Tu travailles dans la monétique et la sécurité pour sortir des bêtises pareilles ?
Moi, c’est mon cas. Et les procédures de déverrouillage qui font croire à de la sécurité sur les terminaux mobiles sont de la poudre aux yeux.
De par leur manque de puissance de calcul, ces terminaux N’ONT AUCUNE SECURITE.La faute aux éditeurs des OS qui ont sacrifié la sécurité sur l’autel de la fluidité.
De plus, avec le NFC, la récupération des informations par scanning sert essentiellement à établir des listes de N° de cartes valides qui finissent sur le darkweb. La copie des données ne sert pas à faire du sans-contact à la place de la victime. Il faut se retirer ça de la tête.
Un code oui, pour l’interface utilisateur, pas forcément avec des appels bas-niveaux dans un OS qui n’a aucune sécurité.
Ce qui fait la sécurité d’une carte bancaire SANS NFC, c’est le format propriétaire fourni par la banque. Avec des terminaux mobiles, la banque n’a pas la main ni sur le matériel, ni sur l’OS et, 2 fois sur 3, ni sur l’application. Le fait de se faire scanner, la banque n’y peut rien et refusera toujours de rembourser les dépenses frauduleuses d’une personne qui n’a pas protégé ses données personnelles.
Se la péter avec du sans contact dans la carte bancaire, la montre connectée, le téléphone etc … représente des risques importants. Il faut choisir en toute connaissance de cause. Moi, c’est CB sans NFC, et les paiements internet se font sous GNU/Linux A JOUR. Les autres solutions sur le marché sont trop fragiles et fortement attaquées par les escrocs parce que cela représente la majorité.
Verrouillage pour l’interface homme machine. Quand l’attaque provient d’une autre machine, ce n’est plus la même histoire.
Il faut garder à l’esprit que le NFC / RFID n’est pas sécurisé de base.
Il manque des informations dans l’article, je suis d’accord.
Le gars s’est fait scanner ses informations cartes et l’escroc a fait des paiements internet avec derrière. Faut arrêter de croire que les scans de cartes ne servent qu’à faire des paiements sans contact frauduleux.
Que ce soit linux ou autre ,si le mec veut te pirater , il le fera .il y a virtualis pour les numéros de code bancaire à usage unique .
Par contre ça pose problème avec le compte nickel et la carte , puisqu’ on ne peut pas désactiver le nfc .
Un code pin avec un bon telephone qui a une puce qui scanne rapidement à côté , ton code pin va sauter car il est limité ( genre 4 chiffre à taper alors qu’il faudrait mettre un code de protection alphanumérique à 12 symboles minimum par ex.) .
J’invite l’union fédérale des consommateurs ou la clcv et la cnil à enquêter sur la faiblesse du code pin .
Si ça se trouve ce n’est même pas un telephone qui a été utilisé pour pirater la montre mais une machine specifiquement fabriquer pour .donc étudiée pour casser rapideme t les codes pin.
Je termine le mieux c’est de creer un compte google pay par ex. Spécifiquement dédié à votre paiement nfc.dessus vous faites des virements plafonnés. Comme ça si vous vous faites pirater , le hacker ne pourra pas débiter tout l’argent de votre compte bancaire principale vu que ce sera un compte à part .
Donnez moi un exemple concret, un seul de Apple Pay piraté !
On pourrait dire que c’est le BA.BA. mais trop simple et évident.
Un client peut toujours contester une opération CB et il appartient alors à la banque de prouver que l’opération a réellement été faite par son auteur. ( donc l’inverse de la banque qui répond : on ne vous croie pas ! )
Source ? Osez prétendre que les téléphones mobile manque de puissance pour assurer une sécurité est très oser.
Ils le sont au moins pour assurer une négo TLS
Bref si c est possible d argumenter pour essayer de comprendre ton point de vue 🙂
Le TLS est très loin en terme de complexité de ce qu’il se trouve dans une carte EMV.
Source : internet et 30 ans d’expérience ….
Les générateurs de N° unique posent problème. La faille se trouve sur l’utilisateur puisqu’il y a compte/mot de passe. La plupart des banques ont abandonné la chose.
Nan, ce n’est pas simple justement. C’est bien pour ça que les gens ne le font pas.
Après, rien ne garanti la sécurité du compte google … ni le fait qu’un pirate puisse remonter au compte principal.
Inutile de rappeler le métier de google n’est pas la banque.
Oui et non, c’est une croyance de café du commerce. Ce n’est psa systématique, tout dépend des circonstances.
Maintenant, il y en a tellement que les banques font tout pour ne pas couvrir les achats frauduleux.
Comme d habitude les banques ne prennent pas leur responsabilité. Il faut attaquer la banque la charge de la preuve lui incombe.
C’est un service national de monétique qui a établit ce verdict. Donc, etant donné que vous y avez travailler vous ne pouvez remettre en question le travail du confrère qui étudie ce dossier.
La responsabilité du client est forcement engagée dans cette histoire. D’ailleurs prennez un détail simple merci :
“le client n’a pas fait d’achat dans la boîte” alors qu’il a un compte capable d’autoriser un paiement de 2263euro. Même s’il a des coupons il aurait payer à l’entrée au moins.. Les excuses des clients.. Faites vous plaisir jugez les. Ici vous pouvez.
D’où le “service national de monétique”, y’a bien le GIE carte bancaire qui pourrait y ressembler, mais ce n’est qu’un réseau de compensation monétique pour les banques françaises … et en aucun cas l’académie de la monétique française. Tout au plus, l’organisme qui rend inter-opérable via des normes les cartes bancaires des banques affiliées.