EN TOUTE DISCRÉTION - En Allemagne, des dizaines d'utilisateurs de PayPal ont découvert des transactions frauduleuses sur leur relevé, pour plusieurs milliers d'euros parfois. Une faille de sécurité dont Paypal aurait été averti il y a un an déjà.
Des achats en ligne, souvent d'objets high-tech, pour des centaines, voire des milliers d'euros. Voilà ce qu'ont découvert sur leur compte en ligne des clients de PayPal, dont nombre d'entre eux sont situés en Allemagne. Des achats frauduleux effectués aux États-Unis, notamment dans des magasins Target, sans que l'on sache précisément si les articles ont été payés sur place, ou commandés et payés en ligne. Jusque-là, la piste des fraudeurs semble un peu floue.
Elle se précise quand on découvre que toutes les victimes ont un point commun : elles ont connecté leur compte Paypal au système de paiement mobile Google Pay, qui permet d'effectuer des paiements sans contact dans les commerces. Un détail qui a mis la puce à l'oreille de Markus Penske, un chercheur allemand en sécurité informatique. Et pour cause : lui dit avoir rapporté à Paypal une faille mettant en jeu la connexion des deux systèmes, faille rapportée... il y a un an déjà.
Reported a critical issue to PayPal ONE YEAR AGO. "Not an issue. Please self-close". Lots of discussion. Finally got a bounty. Asked several times if its fixed. No response. Gave up. Found that it's actively exploited by now. Sorry PP, you suck. https://t.co/48IVszRqlb — iblue (@iblueconnection) February 24, 2020
Pour imaginer comment la fraude a pu se dérouler, il faut entrer dans le détail du système. Quand on connecte son compte PayPal à Google Pay, PayPal crée une carte de crédit virtuelle. Elle sera ajoutée à l'application Google Pay, afin de permettre de débiter ses achats directement sur son compte PayPal. Or, selon le chercheur, si d'autres systèmes de cartes virtuelles existent, la faille de sécurité de celle de Paypal s'explique par deux détails d'importance. D'abord, là où l'essentiel des cartes virtuelles ne sont utilisables que dans des commerces physiques, celle de Paypal peut être utilisée en ligne. En outre, le cryptogramme visuel, ce code CVC à trois chiffres utilisé pour les achats en ligne, serait ignoré par le système, qui accepterait n'importe quel code.
L'histoire ne dit pas pour l'instant exactement comment les numéros de cartes virtuelles ont été collectés par les fraudeurs. Deux hypothèses possibles : soit les numéros ont été "devinés" par un robot capable d'essayer des milliers de numéros au hasard, avec des dates de validité courtes. Soit les numéros de ces cartes virtuelles auraient pu être récoltés à la volée, avec un lecteur passant à portée des mobiles des victimes. Cela pourrait expliquer qu'elles se trouvent en majorité en Allemagne. Dernière hypothèse, peut-être la moins probable : que les numéros aient été piratés à l'aide d'un malware installé sur les smartphones des victimes, ce qui impliquerait d'autres failles encore.
Comment se protéger ?
Après ce qui ressemble à un sérieux retard à l'allumage, PayPal promet que la faille a été comblée, sans plus de détails. Si le procédé nécessite d'avoir joint Paypal et Google Pay sur son mobile - ce qui réduit le nombre de victimes potentielles -, il n'y a pas de raison que la fraude n'ait touché que l'Allemagne.
On ne saurait donc trop vous conseiller de vérifier vos dernières transactions sur Paypal, dans la rubrique "Activités". Une mesure de protection simple, mais indispensable, le pionnier du paiement restant l'une des cibles préférées des fraudeurs en tous genres. PayPal promet que cette fois encore, toute transaction frauduleuse sera remboursée.
-
Sur le
même thème
- Avec Mine, découvrez quelles sociétés détiennent vos données personnelles (et comment les effacer)Publié le 7 février 2020 à 16h09
- Comment Avast, le plus populaire des anti-virus gratuits, vendait vos données aux marquesPublié le 30 janvier 2020 à 17h58
- Paiement sans contact : les accessoires anti-piratage sont-ils vraiment efficaces ?Publié le 2 janvier 2020 à 20h10
- Paiements : votre smartphone peut-il remplacer la carte bancaire ?Publié le 7 octobre 2019 à 16h18
- Les données personnelles de 1,4 million de Français en vente sur le dark webPublié le 3 juin 2019 à 17h31
- VIDÉO - Google Pay arrive en France pour payer avec votre smartphone Android : on vous explique comment ça marchePublié le 11 décembre 2018 à 14h04
- Cartes bancaires, comptes mail, réseaux sociaux : tous à la merci d'un "détournement de SIM"Publié le 21 novembre 2018 à 16h59
- Vol d'identifiants, phishing à grande échelle, tromperie : le M. sécurité de Google décrypte les trois dangers qui vous guettentPublié le 2 novembre 2018 à 16h46
- Facebook : le piratage des comptes européens pourrait lui coûter plus d'un milliard de dollarsPublié le 1 octobre 2018 à 13h14
- Salon du mobile de Barcelone : smartphone, voiture, montre, bague... Le paiement sans contact s'embarque partoutPublié le 28 février 2018 à 12h47
Tout
TF1 Info
- 1Mort de Sihem : que sait-on de Mahfoud H., mis en examen ce jeudi ?Publié le 2 février 2023 à 14h55
- 2Grèves : trains, carburant, stations de ski... à quoi s'attendre pour les vacances scolaires ?Publié le 2 février 2023 à 14h42
- 3EuroMillions : "une pluie de millionnaires" va inonder l'Europe ce vendrediPublié le 2 février 2023 à 23h04
- 4Disparition d'Héléna à Brest : un nouvel appel à témoins lancéPublié le 2 février 2023 à 15h04
- 5Disparue depuis le 25 janvier, Sihem, 18 ans, retrouvée morte dans le GardPublié le 2 février 2023 à 9h01
- 6Des soldats ukrainiens combattent-ils sous l'effet du Captagon, cette drogue dérivée d'amphétamines ?Publié le 1 février 2023 à 16h47
- 7VIDÉO - Ne jetez pas votre vieux portable, il peut rapporter plusieurs centaines d'eurosPublié le 31 janvier 2023 à 16h44
- 8Guadeloupe : une lycéenne de 17 ans meurt en plein cours d'EPSPublié hier à 11h41
- 9Ma conjointe est décédée bien avant sa retraite, ai-je droit à une pension de réversion ? Le 20H vous répondPublié le 2 février 2023 à 18h17
- 10Que faire en cas d'erreur dans le calcul de sa retraite ? Le 20H vous répondPublié le 1 février 2023 à 19h12
- 1Risques d'érosion : quelles sont les villes menacées en France ?Publié hier à 17h28
- 2Le 13H au jardin : en février, c'est déjà le moment de semer et planterPublié hier à 17h27
- 3
- 4
- 5Les Malouines, voyage en terre sauvage aux portes de l'AntarctiquePublié hier à 17h18
- 6Miniatures ou grandeur nature, ce collectionneur est un passionné de busPublié hier à 16h58
- 7
- 8Bon plan : le royaume des plantes à des prix imbattablesPublié hier à 16h38
- 1L'ASTUCE GEEK - Comment connecter votre ordinateur à Internet partout grâce à votre smartphonePublié le 8 novembre 2019 à 15h50
- 2Téléphone : qui vous appellera avec un numéro en 09 après le 1er janvier ?Publié le 6 septembre 2022 à 18h04
- 3Twitter Blue débarque en France : voici ce qui va changerPublié hier à 16h10
- 4L'ASTUCE GEEK - Que faire si votre disque dur externe n’est pas reconnu par votre ordinateur ?Publié le 29 mars 2019 à 17h01
- 5L'ASTUCE GEEK - Comment ajouter vos propres fichiers musicaux à Spotify ?Publié le 17 janvier 2020 à 20h25
- 6Astuce geek : créez votre sonnerie d'iPhone à partir d'une musiquePublié le 17 février 2017 à 16h25
- 7L'ASTUCE GEEK : comment supprimer toutes vos conversations sur Facebook MessengerPublié le 20 décembre 2019 à 14h40
- 8Astuce geek : tapez l'emoji ¯\_(ツ)_/¯ facilement sur le clavier de votre smartphonePublié le 8 mars 2016 à 18h16
- 9L'ASTUCE GEEK : Comment ajouter vos propres fichiers musicaux à Deezer ?Publié le 6 février 2020 à 17h36
- 10Avec Mine, découvrez quelles sociétés détiennent vos données personnelles (et comment les effacer)Publié le 7 février 2020 à 16h09
- SportsSix Nations 2023 : dernier test majeur pour le XV de France avant le Mondial
- Police, justice et faits diversPortée disparue, Sihem, 18 ans, retrouvée morte dans le Gard
- InternationalMort de Tyre Nichols : la nouvelle affaire qui choque l'Amérique
- Sujets de société31 janvier, 2e round contre la réforme des retraites
- InternationalL'Occident se résout à livrer des chars à l'Ukraine