S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Le code PIN de Google Wallet peut être trouvé sur un smartphone rooté

Il faut que les planètes s'alignent, mais le risque est réel

Google Wallet est une solution de portefeuille numérique pour Android utilisant les puces NFC (Near Field Communications). Son objectif est d’équiper les smartphones d’une possibilité de régler les achats dans les boutiques qui sont équipées en terminaux compatibles. La sécurité joue un rôle primordial dans la crédibilité de Google Wallet, une équipe de chercheurs a cependant trouvé un moyen de faire un trou dans le portefeuille numérique.

wallet google offers

En théorie, un code PIN peut être trouvé en quelques secondes 

Zvelo est une société spécialisée dans la catégorisation des sites web et leur sécurité. Récemment, l’un des experts de Zvelo, Joshua Rubin, a décrit dans un billet sur le blog de la société un sérieux problème de sécurité dans Google Wallet. Il serait possible de briser le code PIN de protection du service par la force brute.


Cela signifie concrètement que le code PIN peut être trouvé de manière relativement simple. Le code lui-même ne comprend que quatre chiffres, ce qui représente donc environ 10 000 combinaisons. Une application pourrait être installée pour tester chacune d’entre elles, une méthode appelée force brute (tous les cas sont envisagés). Mais la question est du coup de savoir comment on installe une telle application.

C’est la limite de « l’attaque » : le téléphone doit être rooté. En clair, l’utilisateur doit avoir fait une série de manipulations sur Android pour récupérer les droits administrateur (root) sur son appareil, afin de mener des actions normalement bloquées. Bien que cet état puisse être courant sur les smartphones des utilisateurs expérimentés, le rootage reste une procédure particulière absente de la majorité des terminaux Android. Cela suffit quand même à installer une application qui va pouvoir deviner le PIN de Wallet en quelques secondes d’après Zvelo.

Pour Google, il n’existe pas vraiment de problème

L’éditeur défend bien évidemment son produit en affirmant que Wallet détient plusieurs avantages sur une solution de carte bancaire classique. Plusieurs protections sont également en place. Outre le code PIN, Google recommande l’activation de l’écran de verrouillage qui oblige à utiliser un autre code ou une protection visuelle, ceci pour empêcher l’accès physique au téléphone par un tiers.

Google revient ensuite sur le rootage du téléphone. Globalement, la firme tente de décourager les utilisateurs d’y recourir car la sécurité du téléphone peut être remise en question. Bien qu’il s’agisse d’une confirmation des explications de Zvelo, Google ajoute un point important : si un smartphone avec un compte Wallet actif est rooté, il y a de fortes chances que la manipulation soit détectée et que les données relatives soient automatiquement effacées.

La firme insiste sur l’antagonisme de Wallet et du rootage et ajoute que des actions sont prises dans la foulée quand des problèmes sérieux sont détectés. Par exemple, un souci est apparu dans les cartes prépayées. Un utilisateur qui récupèrerait un smartphone sans écran de verrouillage pourrait potentiellement utiliser le solde positif d’une telle carte sans autorisation. Cette coupure est temporaire, le temps qu’une correction permanente soit appliquée.

Rappelons en outre que pour trouver le code PIN de Google Wallet, le rootage du téléphone ne suffit pas. Si le but est en effet d’attaquer une personne, il faut pouvoir accéder physiquement à son téléphone pour installer l’application, puis utiliser l’appareil pour effectuer le paiement. Déclencher l’attaque à distance, via une application contenant un malware par exemple, n’aurait d’intérêt que si l’on était certain de pouvoir ensuite récupérer le téléphone : le paiement se base sur les transmissions NFC.

Wallet n'a pas fini d'évoluer

Google n’hésite pas à dire que Wallet va continuer à s’améliorer et que les années à venir permettront d’en apprendre davantage, des propos étranges pour un produit si sensible. Il est vrai que la solution se cantonne surtout aux États-Unis pour l'instant et que l’ouverture au reste du monde exposera le service à des risques supplémentaires. Mais l’éditeur est décidé à prendre des décisions radicales, quitte à bloquer totalement les téléphones rootés sur des produits aussi sensibles que Wallet. 

Terminons sur les conseils qu’a donné la société Zvelo pour limiter les risques avec Android et Wallet :
  • Ne pas rooter le téléphone
  • Activer une protection sur l’écran de verrouillage, avec un code, un modèle ou autre
  • Désactiver le débogage USB, qui peut permettre de passer outre l’écran de verrouillage
  • Activer le chiffrement des données sur tout le téléphone, ce qui empêche le débogage USB de passer outre le verrouillage
  • Installer toutes les mises à jour disponible, bien que ce point soit malheureusement très dépendant de la volonté des constructeurs sur leurs modèles de smartphones. Dans l’idéal, l’utilisateur aura accès à une mouture 4.0.X d’Android.
Source : Zvelo
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 13/02/2012 à 10:40

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 45 commentaires

Avatar de EMegamanu INpactien
EMegamanu Le lundi 13 février 2012 à 14:00:24
Inscrit le mercredi 19 avril 06 - 1957 commentaires
Mmwai... On a pas fini d'en voir des problèmes avec le paiement par NFC.
Ma CB est par exemple compatible avec les terminaux bancaires sans contact du supermarché vers chez moi et ce sans saisir un seul code PIN contrairement à l'utilisation d'un lecteur de carte à puce classique. Effarant.
Avatar de nucle INpactien
nucle Le lundi 13 février 2012 à 14:21:43
Inscrit le mardi 13 juillet 04 - 3587 commentaires
Perso, je préfererais pouvoir téléphoner avec ma carte de crédit.. Que de payer avec mon smartphone.

Blague à part. Je suis pour la multiplication des moyens de se ruiner paiements. Mais il faut une valeur ajoutée à cela. Et je ne trouve pas celle de Google Wallet.

Par contre, celle de rooter son terminal, je trouve ça indispensable
Avatar de ano_634700169950321032 INpactien
ano_634700169950321032 Le lundi 13 février 2012 à 15:19:30
Inscrit le mardi 24 mars 09 - 394 commentaires
Euh, juste un truc...

quatre chiffres, ce qui représente donc environ 10 000 combinaisons


Pourquoi environ ?

De 0000 à 9999, ça fait tout pile 10.000, non ?

Edité par docbrown le lundi 13 février 2012 à 15:19
Avatar de lol.2.dol INpactien
lol.2.dol Le lundi 13 février 2012 à 15:22:44
Inscrit le mercredi 27 décembre 06 - 2958 commentaires
Ma CB est par exemple compatible avec les terminaux bancaires sans contact du supermarché vers chez moi et ce sans saisir un seul code PIN contrairement à l'utilisation d'un lecteur de carte à puce classique. Effarant.


Dans beaucoup de pays, et notamment aux USA, les cartes de crédit n'ont pas de code PIN.
La seule vérification faite c'est la signature sur un terminal ou sur un ticket de CB. Elle même jamais comparée à une autre (tu peux faire une belle croix, personne n'ira vérifier).
Avatar de EMegamanu INpactien
EMegamanu Le lundi 13 février 2012 à 15:36:10
Inscrit le mercredi 19 avril 06 - 1957 commentaires
@lol.2.dol je sais, c'était le cas aussi en Allemagne où dans 90% des magasins pas besoin de code. Mais doit-on pour autant accepter cette régression chez nous ? Ça doit pas être compliqué de demander un code à saisir sur ces terminaux, tout comme de les sécuriser davantage sous Android...

Et j'imagine déjà l'arrivée de nouvelles méthodes de copie de CB et autres systèmes encore plus faciles pour les malfrats via le NFC. Je crois que c'est même ce que je redoute le +.

Déjà que j'ai eu un peu de mal à convaincre la banque quand ma CB a été volée et utilisée à un péage de ne pas avoir divulgué mon code...

Edité par EMegamanu le lundi 13 février 2012 à 15:37
Avatar de Liam INpactien
Liam Le lundi 13 février 2012 à 16:20:00
Inscrit le lundi 25 août 03 - 6140 commentaires
Perso, je préfererais pouvoir téléphoner avec ma carte de crédit.. Que de payer avec mon smartphone.


Tu peux, dans toutes les cabines téléphoniques France Télécom.

N'empêche c'est une "astuce" que tout le monde ne connait pas : nul besoin d'une carte téléphonique pour téléphoner dans une cabine. La CB ça marche très bien.
Avatar de yoda222 INpactien
yoda222 Le lundi 13 février 2012 à 16:23:44
Inscrit le mercredi 5 mai 04 - 4328 commentaires
Pour l'instant je ne vois pas trop l'utilité de google wallet. tant qu'on devra se déplacer avec le permis de conduire, la carte grise, la carte d'identité, il n'y aura jamais moyen de se débarrasser de ce portefeuille.


J'ai une solution pour toi, si tu es en France et que tu conduis toujours la même voiture. 1. Tu laisses ta carte d'identité à la maison, tu n'en as pas besoin. 2. La prochaine fois que tu vas dans ta voiture, tu prends ta carte grise et ton permis de conduire de la main gauche, tu te penches vers la droite, tu devrais voir une sorte de poignée ouvrant un espace de rangement devant la place du mort. De ta main libre (la droite) tu ouvres ce compartiment. Ensuite, tu places les documents présents dans ta main gauche dedans, et tu refermes cet espace. Tu te redresses, et hop, tu es prêt à partir, et tu n'as plus ni permis ni carte grise dans ta poche. Et voila. N'oublie pas de récupérer ton permis la prochaine fois que tu pars à l'étranger et que tu comptes conduire une autre voiture.
Avatar de nucle INpactien
nucle Le lundi 13 février 2012 à 17:01:05
Inscrit le mardi 13 juillet 04 - 3587 commentaires

Tu peux, dans toutes les cabines téléphoniques France Télécom.

J'y penserais la prochaine fois que ma compagne m'obligera à assister à Roland Garros. Mais en Belgique, les cabines téléphoniques sont presque disparues. Faut agresser un adolescent pour téléphoner si on n'a plus de batterie, ils ont tous un téléphone

Edité par nucle le lundi 13 février 2012 à 17:02
Avatar de Helrik INpactien
Helrik Le lundi 13 février 2012 à 17:19:22
Inscrit le mardi 22 novembre 05 - 187 commentaires
Euh, juste un truc...

Pourquoi environ ?

De 0000 à 9999, ça fait tout pile 10.000, non ?


Y a peut être des codes interdits ?
Par exemple, personne n'a comme code de carte bancaire '0000'.
(ce serait trop déprimant).
Avatar de EMegamanu INpactien
EMegamanu Le lundi 13 février 2012 à 17:26:51
Inscrit le mercredi 19 avril 06 - 1957 commentaires


Y a peut être des codes interdits ?
Par exemple, personne n'a comme code de carte bancaire '0000'.
(ce serait trop déprimant).


Euh... j'ai eu 0001 sur ma précédente carte. Ca compte ?
;