Le code PIN de Google Wallet peut être trouvé sur un smartphone rooté
Il faut que les planètes s'alignent, mais le risque est réel
Google Wallet est une solution de portefeuille numérique pour Android utilisant les puces NFC (Near Field Communications). Son objectif est d’équiper les smartphones d’une possibilité de régler les achats dans les boutiques qui sont équipées en terminaux compatibles. La sécurité joue un rôle primordial dans la crédibilité de Google Wallet, une équipe de chercheurs a cependant trouvé un moyen de faire un trou dans le portefeuille numérique.
Cela signifie concrètement que le code PIN peut être trouvé de manière relativement simple. Le code lui-même ne comprend que quatre chiffres, ce qui représente donc environ 10 000 combinaisons. Une application pourrait être installée pour tester chacune d’entre elles, une méthode appelée force brute (tous les cas sont envisagés). Mais la question est du coup de savoir comment on installe une telle application.
C’est la limite de « l’attaque » : le téléphone doit être rooté. En clair, l’utilisateur doit avoir fait une série de manipulations sur Android pour récupérer les droits administrateur (root) sur son appareil, afin de mener des actions normalement bloquées. Bien que cet état puisse être courant sur les smartphones des utilisateurs expérimentés, le rootage reste une procédure particulière absente de la majorité des terminaux Android. Cela suffit quand même à installer une application qui va pouvoir deviner le PIN de Wallet en quelques secondes d’après Zvelo.
Google revient ensuite sur le rootage du téléphone. Globalement, la firme tente de décourager les utilisateurs d’y recourir car la sécurité du téléphone peut être remise en question. Bien qu’il s’agisse d’une confirmation des explications de Zvelo, Google ajoute un point important : si un smartphone avec un compte Wallet actif est rooté, il y a de fortes chances que la manipulation soit détectée et que les données relatives soient automatiquement effacées.
La firme insiste sur l’antagonisme de Wallet et du rootage et ajoute que des actions sont prises dans la foulée quand des problèmes sérieux sont détectés. Par exemple, un souci est apparu dans les cartes prépayées. Un utilisateur qui récupèrerait un smartphone sans écran de verrouillage pourrait potentiellement utiliser le solde positif d’une telle carte sans autorisation. Cette coupure est temporaire, le temps qu’une correction permanente soit appliquée.
Rappelons en outre que pour trouver le code PIN de Google Wallet, le rootage du téléphone ne suffit pas. Si le but est en effet d’attaquer une personne, il faut pouvoir accéder physiquement à son téléphone pour installer l’application, puis utiliser l’appareil pour effectuer le paiement. Déclencher l’attaque à distance, via une application contenant un malware par exemple, n’aurait d’intérêt que si l’on était certain de pouvoir ensuite récupérer le téléphone : le paiement se base sur les transmissions NFC.
Terminons sur les conseils qu’a donné la société Zvelo pour limiter les risques avec Android et Wallet :
En théorie, un code PIN peut être trouvé en quelques secondes
Zvelo est une société spécialisée dans la catégorisation des sites web et leur sécurité. Récemment, l’un des experts de Zvelo, Joshua Rubin, a décrit dans un billet sur le blog de la société un sérieux problème de sécurité dans Google Wallet. Il serait possible de briser le code PIN de protection du service par la force brute.Cela signifie concrètement que le code PIN peut être trouvé de manière relativement simple. Le code lui-même ne comprend que quatre chiffres, ce qui représente donc environ 10 000 combinaisons. Une application pourrait être installée pour tester chacune d’entre elles, une méthode appelée force brute (tous les cas sont envisagés). Mais la question est du coup de savoir comment on installe une telle application.
C’est la limite de « l’attaque » : le téléphone doit être rooté. En clair, l’utilisateur doit avoir fait une série de manipulations sur Android pour récupérer les droits administrateur (root) sur son appareil, afin de mener des actions normalement bloquées. Bien que cet état puisse être courant sur les smartphones des utilisateurs expérimentés, le rootage reste une procédure particulière absente de la majorité des terminaux Android. Cela suffit quand même à installer une application qui va pouvoir deviner le PIN de Wallet en quelques secondes d’après Zvelo.
Pour Google, il n’existe pas vraiment de problème
L’éditeur défend bien évidemment son produit en affirmant que Wallet détient plusieurs avantages sur une solution de carte bancaire classique. Plusieurs protections sont également en place. Outre le code PIN, Google recommande l’activation de l’écran de verrouillage qui oblige à utiliser un autre code ou une protection visuelle, ceci pour empêcher l’accès physique au téléphone par un tiers.Google revient ensuite sur le rootage du téléphone. Globalement, la firme tente de décourager les utilisateurs d’y recourir car la sécurité du téléphone peut être remise en question. Bien qu’il s’agisse d’une confirmation des explications de Zvelo, Google ajoute un point important : si un smartphone avec un compte Wallet actif est rooté, il y a de fortes chances que la manipulation soit détectée et que les données relatives soient automatiquement effacées.
La firme insiste sur l’antagonisme de Wallet et du rootage et ajoute que des actions sont prises dans la foulée quand des problèmes sérieux sont détectés. Par exemple, un souci est apparu dans les cartes prépayées. Un utilisateur qui récupèrerait un smartphone sans écran de verrouillage pourrait potentiellement utiliser le solde positif d’une telle carte sans autorisation. Cette coupure est temporaire, le temps qu’une correction permanente soit appliquée.
Rappelons en outre que pour trouver le code PIN de Google Wallet, le rootage du téléphone ne suffit pas. Si le but est en effet d’attaquer une personne, il faut pouvoir accéder physiquement à son téléphone pour installer l’application, puis utiliser l’appareil pour effectuer le paiement. Déclencher l’attaque à distance, via une application contenant un malware par exemple, n’aurait d’intérêt que si l’on était certain de pouvoir ensuite récupérer le téléphone : le paiement se base sur les transmissions NFC.
Wallet n'a pas fini d'évoluer
Google n’hésite pas à dire que Wallet va continuer à s’améliorer et que les années à venir permettront d’en apprendre davantage, des propos étranges pour un produit si sensible. Il est vrai que la solution se cantonne surtout aux États-Unis pour l'instant et que l’ouverture au reste du monde exposera le service à des risques supplémentaires. Mais l’éditeur est décidé à prendre des décisions radicales, quitte à bloquer totalement les téléphones rootés sur des produits aussi sensibles que Wallet.Terminons sur les conseils qu’a donné la société Zvelo pour limiter les risques avec Android et Wallet :
- Ne pas rooter le téléphone
- Activer une protection sur l’écran de verrouillage, avec un code, un modèle ou autre
- Désactiver le débogage USB, qui peut permettre de passer outre l’écran de verrouillage
- Activer le chiffrement des données sur tout le téléphone, ce qui empêche le débogage USB de passer outre le verrouillage
- Installer toutes les mises à jour disponible, bien que ce point soit malheureusement très dépendant de la volonté des constructeurs sur leurs modèles de smartphones. Dans l’idéal, l’utilisateur aura accès à une mouture 4.0.X d’Android.
Source :
Zvelo
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 13 février 2012 à 10:40
(13 920
lectures)
Il y a 45 commentaires
INpactien
Le problème n'est pas tant de rooter le terminal que de bien contrôler à quelle application on donne les droits root ... comme sur PC !
Mais il reste vrai que beaucoup de monde root son smartphone comme si c'était vraiment essentiel sans réfléchir aux conséquences ..
Mais il reste vrai que beaucoup de monde root son smartphone comme si c'était vraiment essentiel sans réfléchir aux conséquences ..
INpactien
coucou_lo_coucou_paloma
Le lundi 13 février 2012 à 10:49:35
#2
Inscrit
le jeudi 9 décembre 04
-
8884
commentaires
Il serait possible de briser le code PIN de protection du service par la force brute.
INpactien
Dernière solution : ne pas employer de système de payement par NearField ?
ok, je sors.
Edité par DRunco le lundi 13 février 2012 à 10:53
ok, je sors.
Edité par DRunco le lundi 13 février 2012 à 10:53
INpactien
Théoriquement, il n'y a même pas besoin de rooter le tel. Il "suffirait" de créer une machine qui ira frapper les combinaisons successives à l'écran jusqu'à trouver la bonne
INpactien
Google revient ensuite sur le rootage du téléphone. Globalement, la firme tente de décourager les utilisateurs d’y recourir car la sécurité du téléphone peut être remise en question.
Le grand classique : perte de liberté pour plus de sécurité.
Entrez dans le monde merveilleux du "pratique" et de la "protection"... Beeehh
INpactien
et Y aura droit a un decouvert de credit sur ca ? On pourra payer en plusieurs fois ? Quid du clonage du signal de la puce?
INpactien
Heu je pige pas là... Vous allez me dire que le code pin est stocké sur le téléphone ??? qu'il n'ya pas de contrôle avec un serveur distant ???
Ca m'étonnerait beaucoup et il suffit que le serveur soit protéger contre le brut force et ce genre de méthode devient totalement inexploitable...
Ca m'étonnerait beaucoup et il suffit que le serveur soit protéger contre le brut force et ce genre de méthode devient totalement inexploitable...
INpactien
Possible sans root apparemment: Explications
Voilà, il n’a fallu que de quelques heures supplémentaires pour que quelqu’un pointe du doigt une autre faille, qui ne nécessite pas les accès root ni de talent particulier.
En effet, il suffit simplement d’effacer les données de l’application Google Wallet, puis lorsque vous la relancerez, il vous sera demandé de saisir un nouveau code PIN et vous pourrez ensuite disposer librement des fonds de l’utilisateur.
Voilà, il n’a fallu que de quelques heures supplémentaires pour que quelqu’un pointe du doigt une autre faille, qui ne nécessite pas les accès root ni de talent particulier.
En effet, il suffit simplement d’effacer les données de l’application Google Wallet, puis lorsque vous la relancerez, il vous sera demandé de saisir un nouveau code PIN et vous pourrez ensuite disposer librement des fonds de l’utilisateur.
INpactien
Il semblerait qu'il n'y ai même pas besoin de le rooter ou de tenter un bruteforce: réinitialiser l'appli suffit (http://www.theregister.co.uk/2012/02/10/google_wallet_again/ )
Edit : grillé XD
Edité par Sisyphe73-173 le lundi 13 février 2012 à 11:05
Edit : grillé XD
Edité par Sisyphe73-173 le lundi 13 février 2012 à 11:05
Modérateur
Il y aurait une seconde possibilité à priori, et cette fois sur tous les téléphone, même non rootés
Oui bon, un peu grillé là
(mais avec 3 liens différents pour le même problème quand même )
Edité par Tolor le lundi 13 février 2012 à 11:06
Oui bon, un peu grillé là
(mais avec 3 liens différents pour le même problème quand même )Edité par Tolor le lundi 13 février 2012 à 11:06
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable pendant 23 heures -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable pendant 23 heures
