Si vous disposez d’un compte PayPal et que celui-ci est intégré avec Google Pay, il est temps de jeter un œil sur vos relevés bancaires. Des pirates ont visiblement trouvé une faille dans cette intégration et procèdent depuis quelques jours à de nombreux achats frauduleux auprès d’enseignes américaines.
Pour l’instant, la plupart des victimes sont des utilisateurs allemands. Ils seraient plusieurs dizaines. Comme on peut le lire dans différents forums, les pirates ont d’abord effectué de petites transactions, histoire de tester la connexion. Puis ils ont réalisé une série de transactions nettement plus élevées, allant de quelques dizaines à quelques centaines d’euros. Certains achats ont même dépassé le millier d’euros.
Les destinataires des transactions sont souvent des magasins Target, référencés dans les relevés sous la forme « Target T- ». Une recherche Google permet assez rapidement d’identifier la localisation de ces différents magasins.
Après avoir contacté PayPal, les personnes lésées ont heureusement été remboursées intégralement. Reste à savoir comment de tels achats frauduleux sont possibles. Pour l’instant, aucune information ne filtre de la part de PayPal ou de Google. Sur Twitter, le chercheur en sécurité Markus Fenske, alias « iblue », pense que ces piratages seraient liés à une faille qu’il a notifiée à PayPal il y a un an, sans que l’entreprise n’ait donné suite.
https://twitter.com/iblueconnection/status/1231962017734516741
D’après cet expert, l’intégration de Google Pay avec PayPal génère une carte bancaire virtuelle au niveau du smartphone. Or, les détails de cette carte — numéro et date d’expiration — peuvent facilement être extraits par un tiers au travers du protocole NFC. Ces données pourraient ensuite avoir été utilisées pour réaliser ces achats frauduleux. Mais dans ce cas, comment ces données ont-elles été récupérées ? Et comment ont-elles pu être utilisées aux États-Unis pour faire autant de transactions sans aucun rejet ?
Pour l’instant, le mystère reste donc entier. Une chose est sûre, c’est que les failles dans les technologies de paiement ne cessent de se multiplier, en particulier dans le domaine du NFC. Une récente étude avait ainsi montré que l’on pouvait contourner, dans certains cas, les plafonds transactionnels de cartes bancaires NFC, qu’elles soient physiques ou virtuelles.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.