Wallet, le système de paiement mobile récemment lancé par Google, protège les transactions par un code PIN. Problème, des chercheurs ont trouvé une faille, et développé une application qui cracke ce code en moins d'une seconde…
En septembre dernier, Google annonçait sa nouvelle création : Google Wallet (lire notre article GWallet, ou payer ses courses avec un smartphone). Grâce à une puce NFC (Communication en Champ Proche en bon français) et cette application, il devient possible pour l'utilisateur de payer ses achats en passant son smartphone devant la borne adéquate. Pour des raisons de sécurité évidentes, la firme de Mountain View a implémenté un système de code PIN pour s'assurer que le payeur est bien le propriétaire du smartphone (et donc de la tirelire numérique qu'il contient). Jusque là, tout va bien. Sauf que…
Comment est-il possible de contourner le code PIN de Google Wallet ?
Des chercheurs de Zvelo ont décortiqué GWallet, et ont trouvé deux principaux écueils sur la sécurité du code PIN :
- Il s'agit d'un code PIN à 4 chiffres, qui n'ouvre donc la possibilité qu'à 10 000 codes différents (c'est très peu comparé à la puissance de calcul de nos ordinateurs actuels)
- Le code PIN est enregistré "en dur" sur le smartphone, sous forme cryptée
Il ont alors développé un programme dédié d'attaque par force brute pour réussir à lire cette information cachée. Résultat : "Wallet Cracker" est capable d'afficher le code PIN utilisé en à peine 1 seconde ! Le résultat est bluffant :
Seule limitation : fort heureusement, ce hack ne peut se faire à distance, Wallet Cracker doit être installé sur le smartphone visé. L'application de Google n'a pas encore intégré de mise à jour tenant compte de cette faille, mais ce sera probablement le cas prochainement.
Comment protéger Google Wallet sur son smartphone ?
A l'heure actuelle, Google Wallet n'est déployé qu'aux USA (opérateurs AT&T et Sprint) sur le smartphone Samsung Nexus S 4G, mais devrait être disponible bientôt dans le reste du monde, non seulement sur Android, mais aussi sur iOS (iPhone, iPad) et BlackBerry. Si vous êtes déjà un utilisateur de l'application, voici comment vous protéger de cette faille :
- Ne pas "rooter" son téléphone : cela diminue le niveau de sécurité du smartphone, et facilite le travail du pirate
- Activer l'écran bloqué : la sortie de veille de l'appareil demande alors un code d'authentification (reconnaissance faciale, forme géométrique, PIN, ou mot de passe)
- Désactiver le Debug USB : quand il est activé, ce mode rend accessible les données stockées sur le smartphone par simple connexion USB, sans demande d'authentification
- Activer le cryptage complet du disque (Full Disc Encryption) : cela force l'authentification par écran bloqué, même pour le Debug USB
- Maintenir son système et ses applications à jour
Source : ghacks.net
1 commentaire
Le code PIN de Google Wallet peut être cracké en 1 seconde | Nouvelles technologies et geeks | Scoop.it a dit :
9 février 2012 à 11 h 54 min (UTC 2)
[...] http://panoptinet.com – Today, 11:54 AM [...]