Découvrez dès maintenant notre plateforme d'e-learning avec nos formations en Cybersécurité & Digitale.
Notre offre Formation L'équipe Blog Guides
Contact
<- Retour au blog

La carte bancaire de votre téléphone utilisé sans que vous le sachiez ?

1 décembre 2024 | Valentin

Illustration de l'article

recap

cyber

actu

Payer avec son téléphone : une véritable révolution qui a vite été adoptée par tout le monde car même nos banques nous l'assuraient : c'est 100% sécurisé.

Pourtant aujourd'hui, des attaquants sont capables d'utiliser les cartes bancaires que vous avez enregistrées sur votre téléphone à distance sans que vous vous en rendiez compte.

Et bien on en parle aujourd'hui plus en détails dans le récapitulatif de l'actualité cyber de cette semaine !

Vulnérabilité

Mais avant de vous parler de cette attaque, nous allons parler de Google, et plus précisément de Vertex AI, affectés par deux failles majeures qui viennent d'être corrigées suite à la découverte de ces vulnérabilités par deux ingénieurs de chez Palo Alto.

Pour rappel, Vertex AI c'est la solution made by Google permettant à des entreprises d'entraîner et de déployer des modèles de machine learning sur le cloud et plus particulièrement, des modèles de LLM.

En résumé, les chercheurs ont découvert la possibilité de faire de l'élévation de privilège sur la solution pouvant conduire à de l'exfiltration de données d'entreprise utilisant Vertex AI.

Cela démontre bien que peu importe la technologie, que ce soit de l'IA ou du WEB par exemple, il est indispensable d'inclure la cyber dans son projet et de bien se faire accompagner sur le sujet !([1], [2])

Cyber Attaque

Une nouvelle attaque, appelée ghost tap, vient d'être détectée par une équipe de threatfabric dont l'objectif est simple : vous voler de l'argent en utilisant habillement les cartes enregistrées sur votre téléphone et sa technologie sous-jacente : le NFC.

L'attaque se déroule en plusieurs parties : tout d'abord l'attaquant essaie de récupérer les données de votre carte bancaire ainsi que le code OTP envoyé par votre banque pour pouvoir ajouter votre carte sur un téléphone qu'il contrôle.

Ensuite, et pour éviter de se faire repérer, l'attaquant n'utilise pas directement votre carte, mais tire profit de NFCGate, un outil permettant notamment de relayer les communications NFC.

L'avantage de pouvoir relayer ces communications, c'est qu'une carte ajoutée sur un seul téléphone peut être utilisée par des centaines d'attaquants en parallèle dans le monde.

L'attaque au final est donc assez simple à comprendre : Lorsqu'un attaquant souhaite payer sur un terminal de paiement, le téléphone qu'il utilise ne sert que de relais vers un serveur, transmettant la demande. De l'autre côté du serveur, un téléphone attend ces communications et simule à son tour le terminal de paiement. Un autre attaquant, disposant lui du téléphone avec la carte volée, n'a plus qu'à payer sur ce téléphone pour que la communication soit ensuite relayée jusqu'au terminal de paiement.

Alors, faites bien attention si vous recevez des codes OTP alors que vous n'avez rien demandé et contrôlez régulièrement votre compte en banque pour vérifier chaque transaction !([3], [4])

Data Leak

Les clients de SFR sont de nouveau touchés par un Dataleak où l'on parle de nouveau de 3,6 millions de données personnelles dans la nature.

Après que le groupe de hacker responsable de la fuite de données a annoncé sa trouvaille sur le forum bien connu de tous, SFR a tout d'abord vite démenti l'information !

Le problème, c'est que ça a piqué au vif l'égo de ce nouveau groupe qui essaie de se faire un nom dans le milieu, alors pour se venger, au lieu de vendre les données personnelles comme c'était prévu initialement pour 500$, ils ont tout simplement décidé : de leak gratuitement ces informations.

Voilà un peu l'état de la cyber en ce moment et du petit jeu auquel chaque professionnel de la cyber joue tous les jours.([5])

Un autre dataleak d'importance cette semaine est sur la plateforme Molotov, le site historique pour pouvoir regarder la télévision sur son téléphone, où près de 10,8 millions d'emails ont fuité cette semaine.

Alors cela ne signifie pas que 10,8 millions de clients sont concernés, car beaucoup de leurs utilisateurs utilisent différents comptes, mais cela reste un leak très important.([6])

Alors, comme d'habitude, faites bien attention aux tentatives de phishing dans les semaines à venir mais aussi aux autres leaks de données susceptibles d'arriver dans le service public, au vu des quelques informations dont nous venons de disposer et dont nous attendons la confirmation.

Au-delà de la cyber

Allez, comme d'habitude, on finit par une information sur le monde de la tech et la grosse information de cette semaine concerne Google et son monopole.

La justice américaine vient de rendre son verdict en confirmant le monopole actuel de Google et en proposant un plan d'action pour réduire à néant son monopole.

Parmi les propositions, on retrouve notamment :

  • l'obligation de vendre Google Chrome
  • l'interdiction d'utiliser ses propres autres solutions pour promouvoir son intérêt, par exemple en promouvant Chrome sur Android
  • mais aussi l'obligation de vendre pendant 10 ans au concurrent les données récoltées sur Google Search,
  • sans oublier l'interdiction d'allonger des billets énormes comme à Mozilla pour faire de Google Search le moteur de recherche par défaut
  • Et finalement, l'obligation de rendre Google Ads plus transparents !

Dans tout cela, un élément reste encore en suspens : Android.

Pour le moment, Google n'est pas forcé de se séparer de leur OS, même si cette option reste possible pour la justice américaine si Google ne se conforme pas aux demandes.

Et vous, qu'est-ce que vous pensez de ce gros changement à venir dans l'écosystème ?

Est-ce que vous trouvez cela nécessaire ou avez-vous des doutes sur le bien-fondé de ces décisions, j'attends votre avis en commentaire !([7])

Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !