Sécurité : Des pirates ont trouvé un bug dans l'intégration de PayPal à Google Pay. Avec cette faille de sécurité, ils peuvent utiliser des comptes PayPal pour faire des achats en ligne.

Depuis vendredi dernier, des utilisateurs déclarent avoir vu des transactions mystérieuses apparaître dans leur historique PayPal, provenant de Google Pay. Ces problèmes ont été signalés sur de nombreuses plateformes : des forums PayPal, Reddit, Twitter, ainsi des forums de support Google Pay russe et allemand.

Les victimes expliquent avoir remarqué des abus de leur compte Google Pay sur des achats qui utilisent leur compte PayPal lié. D'après les captures d'écran et divers témoignages, la plupart des transactions illégales ont lieu dans des magasins américains, et notamment dans les magasins Target. La plupart des victimes semblent être des utilisateurs allemands. Les dommages sont estimés à plusieurs dizaines de milliers d'euros. Certaines transactions dépassent 1 000 euros.

On ne sait pas encore très bien ce que ces pirates exploitent. PayPal a indiqué à ZDNet qu'une enquête est en cours. Google n'a pas fait de commentaire au moment où cet article est publié.





publicité

La théorie d'un chercheur en sécurité allemand

Sur Twitter, un chercheur en sécurité allemand du nom de Markus Fenske a déclaré ce mardi que les transactions illégales signalées ce week-end semblent être liées à une faille de sécurité qu'il a signalé, avec son collègue Andreas Mayer, en février 2019. PayPal n'avait alors pas jugé prioritaire de la corriger. Markus Fenske a expliqué à ZDNet que le problème vient du fait que lorsque vous liez un compte PayPal à un compte Google Pay, PayPal crée une carte virtuelle, avec son propre numéro de carte, sa date d'expiration et son code de sécurité. Lorsqu'un utilisateur de Google Pay choisit d'effectuer un paiement sans contact en utilisant les fonds de son compte PayPal, la transaction est facturée via cette carte virtuelle.

« Si la carte virtuelle était verrouillée pour ne fonctionner que sur les paiements en point de vente physique, il n'y aurait aucun problème. Mais PayPal permet d'utiliser cette carte virtuelle pour les transactions en ligne également », détaille-t-il à ZDNet lors d'une interview. Il pense que les pirates ont trouvé un moyen de trouver les informations de ces cartes virtuelles et qu'ils les utilisent pour effectuer des transactions non autorisées en ligne.

Le chercheur explique qu'il peut y avoir trois façons d'obtenir les informations d'une carte virtuelle. La première, c'est de les lire depuis le téléphone/l'écran d'un utilisateur. La deuxième, en utilisant un malware infectant l'appareil de la victime. Et la troisième, en les devinant.

Dans ce dernier cas, « une attaque par force brute pour deviner le numéro de la carte et la date de validité prendra environ un an, ce qui fait un espace de recherche plutôt restreint », précise Markus Fenske. Il ajoute que « le code de sécurité ne compte pas, n'importe lequel est accepté ».





PayPal enquête

Malgré tout, Markus Fenske est le premier à dire que son collègue Andreas Mayer ne font que des suppositions sur les réelles causes de l'attaque – bien que les détails semblent bien correspondre au bug qu'ils ont signalé l'an dernier.

D'un autre côté, le département de sécurité de PayPal a lancé une enquête sur les transactions non autorisées dès que ZDNet les a contacté il y a quelques heures. Les équipes envisagent plusieurs scénarios, et ils ont pris en compte notamment celui de l'attaque décrite par les chercheurs allemands, ainsi que leur rapport de février 2019.

« La sécurité des comptes de nos clients est une priorité absolue dans notre entreprise », a affirmé un porte-parole de PayPal à ZDNet. « Nous vérifions cette information et nous prendrons toutes les mesures appropriées et nécessaires pour protéger davantage nos clients. »



