Dans les systèmes de paiement sans contact basés sur les smartphones ou les montres connectées, on trouve un système de jetons (tokens en anglais). Ce système évite de transmettre les informations bancaires du client. À la place, ce sont des jetons qui sont transmis et qui sont ensuite envoyés dans le cloud par les commerçants pour cibler le compte bancaire à débiter. Samsung Pay fonctionne ainsi et la transmission se fait de manière magnétique (avec la technologie MST). C’est grâce à cette transmission et un manque de sécurité du protocole qu’un pirate a réussi à exploiter une faille de sécurité.
Le vol de jetons
Salvador Mendoza est parvenu à trouver un moyen de « voler » des jetons en approchant un appareil de conception maison au dos d’un smartphone utilisant Samsung Pay. Il est même possible de créer un faux terminal bancaire pour piéger les clients. Une fois le jeton récupéré, l’homme peut l’utiliser dans un autre smartphone pour réaliser des paiements Samsung Pay, même dans les pays où le service n’est pas encore lancé. Le chercheur en sécurité a en outre trouvé un moyen pour prédire la création de jetons (une fois le premier token récupéré) et ainsi créer de nouveaux tokens pour réaliser d’autres paiements frauduleux.
Inutile de préciser qu’à chaque token frauduleux utilisé, un paiement frauduleux est débité depuis le compte de la personne à qui appartient ce token. Ce n’est donc pas Samsung qui est volé, mais bel et bien les particuliers. Contacté par ZDNet à ce sujet, Samsung n’a pas souhaité commenter ce cas particulier et se contente de rappeler qu’en cas de faille de sécurité, l’entreprise prend les mesures nécessaires.
Pour aller plus loin
L’Espagne est le premier pays européen à bénéficier de Samsung Pay
Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
Ah ben ça, comme moyen de paiement moisi et sans AUCUNE sécurité... Et bon, ça fait au moins 15 ans que je ne n'utilise plus ce truc inventé au moyen-âge.
Y'a des siècles qu'on fait des chèques ^^ faut vous mettre à la page ^^
Peut-être pas, mais comme tout OS il faut prendre des habitudes puis on n'est limité en rien fonctionnellement.
Ah oui le jailbreak, tu me rappelles des épisodes noirs de ma vie. Avec des iphones bloqués sur la pomme ou sur itunes, et des erreurs lors de la restauration. On est quand même loin de flasher des màj ou root sur Android. Même si ce que tu dis à propos du piratage est vrai mais tu déplaces le débat. Ce n'est en tout cas pas à l'iPhone qu'on paie 800 balles de nous en empecher.
En piratant tu enfreint la liberté des autres donc ce n'est pas de la liberté. C'est comme dire que voler à l'étalage c'est la liberté. Alors philosophiquement peut être, en pratique non. Oui mais sur Windows on ne pouvait pas modifier un pdf à la volée avant. Et si iOS n'a pas de gestionnaire de fichiers à proprement parler ce n'est pas une limitation. Tu parles de flasher, un coup de jailbreak et c'est bon.
Je parlais de synchro pour la dépendance au PC. Les trucs illégaux, je préfère avoir le choix de quel film payer et lequel telecharger, en tout cas que ça ne soit pas Apple que je paie déjà qui m'impose ça. (Je comprends ta préférence mais il vaut mieux être libre). Ok pour la MàJ, ça ne concerne que les bidouilleurs. iCloud Drive fait le boulot de Dropbox, je parle de fichiers locaux. Là encore t obligé d'utiliser le Cloud d'Apple pour stocker tes fichiers, je préfère avoir le choix (local / cloud) et aussi le choix du fournisseur de Cloud. Pour les pièces jointes, tu cites encore un schéma d'utilisation imposé à la Apple, je parle juste d'y accéder hors de l'application mail ou d'iCloud, comme fichier tout court, pour le compresser, le chiffrer, le stocker hors ligne. Les logiciels de modif de pdf existent depuis la pré histoire.
"c'est le fait qu'un android n'a pas besoin de PC pour être complet contrairement à l'iPhone." je ne comprends donc pas pourquoi tu parlais de synchro alors qu'on peut faire des synchro sur Android aussi... bref... Exemple d'une chose qui nécessite un PC sur iPhone? "Par exemple peux tu télécharger film ou musique en torrent ?" ah je vois, tu parles de trucs illégaux... non, ça on ne peut pas désolé. Je préfère les offres légales. "Flasher une mise à jour manuellement sans PC ?" oh my les exemples de merdes. Comment dire.... TOUT LE MONDE SEN BRANLE DE CA "Accéder aux fichier par gestionnaire de fichier ?" Oui, ça s'appelle iCloud Drive. "Télécharger une piece jointe pour y avoir accès hors ligne et hors de l'application mail ?" évidemment, on peut ouvrir un pdf en un clic, y ajouter la signature et le renvoyer aussitôt. Windows ne fait ça que depuis peu, c'est dire...
Oui justement, c'est le fait qu'un android n'a pas besoin de PC pour être complet contrairement à l'iPhone. Tu pourra pt être me renseigner si ça a évolué. Par exemple peux tu télécharger film ou musique en torrent ? les ajouter à la librairie ? Flasher une mise à jour manuellement sans PC ? Accéder aux fichier par gestionnaire de fichier ? Télécharger une piece jointe pour y avoir accès hors ligne et hors de l'application mail ? plein de connerie comme ça.
Tu parles de synchro donc évidemment si tu n'as pas d'ordinateur il n'y a pas de synchro... donc ta question n'avait aucun sens. Tu peux faire tout ça sur un iPhone.
"Leurs telephones sont régulièrement bugués, lents par rapport à leurs materiel, " Tu te bases sur quoi pour dire ça ? C'est vieux ça. "n'offrent que peu de fonctionnalites d'écosystème." T'as un exemple concret, certaines fonctionnalités commencent par samsung puis se démocratisent pour passer à android natif puis arrive chez Apple en manque d'innovation. (Je pense à la gestion du stylet, au multi fenêtre, fermer toutes les apps en multitache d'un clic, et j'en oublie). "Leur OS est mauvais et moche." C'est subjectif, je le trouve super. Un fait objectif étant qu'ils explosent les ventes, par rapport aux autres constructeurs android et par rapport aux autres OS.
Super !! C'est génial ton truc. N'est ce pas exactement : " devoir passer par un PC / mac pour synchroniser sa musique ou télécharger des films" Tu as l'air d'être tellement dans la sphère Apple que tu ignores que des solutions plus simples existent. Je n'ai pas de PC chez moi, mon Android me permet de gérer toute l'utilsation d'un PC (multimédia, mail, réservations, surf, telechargement, ...). Sauf pour 'laspect pro, ou je me contente du PC boulot. iPhone + Mac ca a dû te couter la peau des f..ses pour telecharger ta musique
Mais de quoi parles-tu? Avec les paiements sans contact sur mobile la fraude va chuter. La carte n'est stockée nulle part autre que chez Visa, comme c'est la cas maintenant.
"S'il y a un moyen de paiement vraiment sécurisé, c’est bien la carte bancaire" lol, tu parles du bout de plastique avec les chiffres bien visibles de tous ?
"pour synchroniser sa musique ou télécharger des films par exemple." mais de quoi tu parles? L'autre jour j'ai ajouté un album sur mon Mac et le lendemain j'ai découvert que non seulement l'album apparaissait dans Apple Music sur mon telephone, mais qu'en plus il était deja prêt pour une lecture hors ligne, ce qui tombait à pic !
"Samsung sort les meilleurs smartphone aujourd'hui. " avec les composants les plus puissants, oui. Les meilleurs? Non. Leurs telephones sont régulièrement bugués, lents par rapport à leurs materiel, n'offrent que peu de fonctionnalites d'écosystème. Leur OS est mauvais et moche.
Tu as balancé les défauts/erreurs depuis 2008 et tu tires une conclusions. En vrai après le S5, samsung a fait le ménage dans ses effectifs. Depuis ses smartphones sont excellent. Samsung dépasse déjà Apple. Je ne vois pas de perfection dans les iphone du fait même de la sphère Apple, devoir passer par un PC / mac pour synchroniser sa musique ou télécharger des films par exemple.
Super tanker?
"Tu balances un peu tout ce qui te plait pas et tu tires des conclusions trop vite." Rien de ce que j'ai dit était subjectif. J'ai énoncé des faits. La conclusion est bel et bien que Samsung n'a pas la philosophie du perfectionnisme, contrairement à Apple par exemple (et c'est d'ailleurs pour cette raison précise qu'ils n'arriveront jamais à les dépasser).
Cherche encore.
C'est sûr qu'avec un tel argument et en plus en anonyme ça fait de toi la personne la plus éclairé de disqus...
Tu es vraiment un guignol.
C'est bien beau la faille, mais c'est de l'argent fictif, faut tout d'abord être capable de l'utiliser et ensuite la faire bonifier en argent réel sans se faire prendre...
Oui comme toujours, le problème n'est pas l'accès à l'argent mais de ne pas se faire choper après. Une carte bancaire est également très simple a dupliquer (ou même simplement relever tous les numéros et commander en ligne), le problème c'est de ne pas être attrapé après coup. Il suffira simplement à Samsung d'offrir la possibilité de marqué son compte comme "corrompu" et que le vendeur reçoive l'information à la prochaine transaction lui permettant de prévenir la police. Personnellement j'ai les notifications en live (sur mon tel) quand ma CB est utilisé donc à la première utilisation frauduleuse je peux la bloquer.
Ils n'y arrivent pas non plus... il n'y a pas de Samsung/Google pay sur Android 4.
Là le type a besoin de coller son appareil au tel pour que cela fonctionne. Dans le cas d'une carte bancaire n'importe quel commerçant peut voler vos info et les réutiliser grâce à un appareil modifié... bref ce n'est pas moins sûr qu'une CB.
<blockquote> Inutile de préciser qu’à chaque token frauduleux utilisé, un paiement frauduleux est débité depuis le compte de la personne à qui appartient ce token. </blockquote> Et comme ce ne sont que des flux numériques, le fraudeur est vite tracé, l'argent est vite récupéré. C'est beau comme falsifier un chèque ce vol de tokens.
Loll. ??? Pas pour moi<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Tu balances un peu tout ce qui te plait pas et tu tires des conclusions trop vite. Samsung sort les meilleurs smartphone aujourd'hui. (Je n'aime pas le courbé, car c dur à protéger mais le design est impeccable). Coté OS, ce n'est pas du stock mais bien souvent en avance sur le stock. Sur S pay ils ont fait une connerie, mais aucune entreprise ne peut te garantir un système sans faille
L'innovation à toujours généré des dérives. Sans techno, me consommateur se faisait déjà pigeons été du temps de ton arrière grand mère, mais différemment. Aies confiance dans le fait que nous saurons trouver individuellement et collectivement la parade aux abus et excès. Par exemple, en obligeant l'opérateur à travestir et à te demander ton accord pour rentrer dans un espace payant (comme quand on t'annonce le prix d'une surtaxé téléphonique). Ensuite, il n'a pas été utile d'attendre les technos pour dépenser sans compter et se ruiner. De tout temps tu as eu... Les cigales et les fourmies ! Ce qui m'inquiète beaucoup plus c'est que la complexification grandissante de nos eco systèmes qui convergent vers 1 seul eco système digital rend l'ensemble de plus en plus fragile. Et qu'un jour, une mega panne pourrait paralyser le monde entier, y compris sur des fonctions vitales, et que personne ne pourrait réellement identifier la source vu la complexité. Ca oui. C'est Ravage de Barjavel qui pourrait se réaliser ! Ça me semble plus sérieux qu'une généralisation du pigeonnage de consommateurs bien moins cons dans ce domaine qu'on essaie de les faire passer !
Je cherche le rapport entre un écran courbé et un service de paiement...
Bah, il préfère payer une cotisation à sa banque pour chaque carte plutôt que vouloir envisager qu'il n'y a pas que ça. Et puis bon, c'est qui ce paresseux qui veut payer avec un rectangle de plastique? Passer à la banque et demander des billets au guichetier est devenu un acte insupportable dans la vie de tous les jours ou bien?
Bravo, par cette simple phrase "on en rajoute une couche avec notre accès à notre compte bancaire dans le cloud", tu montres ta méconnaissance du sujet.
La carte bancaire sécurisée... haha!
Les vols de paiements sont aussi basé sur les copies de cartes (à la station service, au distributeur etc...). T'as beau faire attention, tu peux toujours te faire avoir :) Et puis avoir un autre moyen de paiement, c'est pas spécialement de la fainéantise. Simple exemple, j'ai une carte bancaire, mais en allant faire les courses je l'ai oubliée chez moi (t'sais le truc qui arrive par moment). J'étais bien content de pas revenir chez moi et d'avoir ma "CB" sur mon iPhone.
Ça étonne quelqu'un ?
Bon la il ne s'agit pas d'android directement mais moi pas de numéro de CB donné sur Android ou autres données bancaires Sous PC à jour en https ok pas sur Android Trop trop de versions sorties en même temps Ça va trop vite comment Google et les constructeurs derrières peuvent suivre pour avoir x systèmes sûrs Android 4 à 6 ?
Et tu veux rajouter encore plus de commerçants disposant d’accès à ta carte bancaire..... logique...... Le but ultime des machinpay, c'est à terme de payer en te baladant. ET MÊME si la techno est sécurisée (la SF j'adore ça^^), ce sera toi le pigeon. Tu mets les pieds dans un endroit tarifé/taxé tu paieras automatiquement. Quand tu t'en rendra compte, bon courage pour te faire rembourser. Après, les vols de paiements basés sur le numéro de CB sont essentiellement dû a des sites en carton, des ordinateurs vérolés, généralement à une méconnaissance de l'univers informatique. Et là on en rajoute une couche avec notre accès à notre compte bancaire dans le cloud !!!! Et ça c'est du progrès ????????
Tu es naïf. Dans 5 ans, on ne parlera plis de cartes. Et les cartes actuelles ne sont vraiment pas fiables. Plusieurs milliards sont détournés chaque année mais les sociétés et les banques se taisent. Tu n'as jamais rien lu la dessus ? Sans parler des familles sur les cartes stockées sur les sites internet des commerçants....
QUEL EST L'INTERET DU TRUC ???????? En plus c'est pas fiable, là on parle de samsung, demain on parlera des autres..... Là on en es à un techno qui va tourner en eau de boudin. S'il y a un moyen de paiement vraiment sécurisé, c’est bien la carte bancaire, pour peu qu'on ne fasse pas n'importe quoi avec. Je vois bien à quoi ils veulent aboutir, mais est ce que c'est ce que veulent les gens ? (payer sans effort, et par extension, ne pas savoir qu'on paye des trucs) Je pense que toute transaction doit être signée d'une façon ou d'une autre. Les gens sont ils devenus si paresseux qu'insérer une carte et taper un code devienne un acte insupportable dans la vie de tous les jours ???
bonne nuit, faites de beaux cauchemars ! Ce qui n'empêche pas de rester prudent ...
Ton explication semble claire et rationnelle, cependant la faille est bien réelle, donc il faut croire que la sécurité que tu évoques a été outre-passée... Suffit de lire les sources et de regarder la vidéo si l'article de FrAndroid te semble alarmiste ! D'une manière générale, j'ai appris, en particulier en terme de sécurité, à ne jamais être sûr de moi et à me dire qu'il y a toujours une façon de contourner ce que je pensais incontournable.
Euh, je n'en suis pas si sûr. En général lorsque le jeton est généré, il est bien évidemment possible de l'utiliser avant sa date d'expiration autre part, cependant, lors de la création du jeton il y a d'abord un mécanisme visant à déterminer la source et le destinataire. Lors de la récupération par le destinataire, il y a vérification de l'identité de la source sur laquelle le token a été généré et vérification de correspondance. En d'autres termes même s'il arrive à intercepter le jeton, en aucun cas il n'a la possibilité d'être utilisé ailleurs, il a juste déplacé la source. Le jeton est créé lorsqu'il a autorisé avec son fingerprint la transaction. Dans tous les cas cela nécessite une autorisation au préalable avant création du jeton. Et même s'il arrive a prévoir le prochain jeton, cela ne servira à rien car il n'aura pas été créé correctement et sera refusé, d'où la réaction de Samsung. Maintenant, la "solution", vu que ce n'est pas vraiment un problème est de diminuer la durée de vie du Token.
Je ne suis pas étonné : - Galaxy Ace, Spica (exp utilisateur à chier), - Plastique jusqu'à 5 itérations de Galaxy S, - image déformée avec des bords courbes au moment où les écrans atteignent un degré de perfection inégalé en terme de fidélité de couleurs et de densité de pixels, - la décision de ne pas sortir un flagship sur un continent. Du Samsung tout craché. Ils ne sont pas perfectionnistes, il y a toujours une couille dans le potage avec eux. La volonté de ne sortir que des hauts de gamme à écran courbe le démontre un peu plus.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix