EN TOUTE DISCRÉTION - En Allemagne, des dizaines d'utilisateurs de PayPal ont découvert des transactions frauduleuses sur leur relevé, pour plusieurs milliers d'euros parfois. Une faille de sécurité dont Paypal aurait été averti il y a un an déjà.
Des achats en ligne, souvent d'objets high-tech, pour des centaines, voire des milliers d'euros. Voilà ce qu'ont découvert sur leur compte en ligne des clients de PayPal, dont nombre d'entre eux sont situés en Allemagne. Des achats frauduleux effectués aux États-Unis, notamment dans des magasins Target, sans que l'on sache précisément si les articles ont été payés sur place, ou commandés et payés en ligne. Jusque-là, la piste des fraudeurs semble un peu floue.
Elle se précise quand on découvre que toutes les victimes ont un point commun : elles ont connecté leur compte Paypal au système de paiement mobile Google Pay, qui permet d'effectuer des paiements sans contact dans les commerces. Un détail qui a mis la puce à l'oreille de Markus Penske, un chercheur allemand en sécurité informatique. Et pour cause : lui dit avoir rapporté à Paypal une faille mettant en jeu la connexion des deux systèmes, faille rapportée... il y a un an déjà.
Reported a critical issue to PayPal ONE YEAR AGO. "Not an issue. Please self-close". Lots of discussion. Finally got a bounty. Asked several times if its fixed. No response. Gave up. Found that it's actively exploited by now. Sorry PP, you suck. https://t.co/48IVszRqlb — iblue (@iblueconnection) February 24, 2020
Pour imaginer comment la fraude a pu se dérouler, il faut entrer dans le détail du système. Quand on connecte son compte PayPal à Google Pay, PayPal crée une carte de crédit virtuelle. Elle sera ajoutée à l'application Google Pay, afin de permettre de débiter ses achats directement sur son compte PayPal. Or, selon le chercheur, si d'autres systèmes de cartes virtuelles existent, la faille de sécurité de celle de Paypal s'explique par deux détails d'importance. D'abord, là où l'essentiel des cartes virtuelles ne sont utilisables que dans des commerces physiques, celle de Paypal peut être utilisée en ligne. En outre, le cryptogramme visuel, ce code CVC à trois chiffres utilisé pour les achats en ligne, serait ignoré par le système, qui accepterait n'importe quel code.
L'histoire ne dit pas pour l'instant exactement comment les numéros de cartes virtuelles ont été collectés par les fraudeurs. Deux hypothèses possibles : soit les numéros ont été "devinés" par un robot capable d'essayer des milliers de numéros au hasard, avec des dates de validité courtes. Soit les numéros de ces cartes virtuelles auraient pu être récoltés à la volée, avec un lecteur passant à portée des mobiles des victimes. Cela pourrait expliquer qu'elles se trouvent en majorité en Allemagne. Dernière hypothèse, peut-être la moins probable : que les numéros aient été piratés à l'aide d'un malware installé sur les smartphones des victimes, ce qui impliquerait d'autres failles encore.
Comment se protéger ?
Après ce qui ressemble à un sérieux retard à l'allumage, PayPal promet que la faille a été comblée, sans plus de détails. Si le procédé nécessite d'avoir joint Paypal et Google Pay sur son mobile - ce qui réduit le nombre de victimes potentielles -, il n'y a pas de raison que la fraude n'ait touché que l'Allemagne.
On ne saurait donc trop vous conseiller de vérifier vos dernières transactions sur Paypal, dans la rubrique "Activités". Une mesure de protection simple, mais indispensable, le pionnier du paiement restant l'une des cibles préférées des fraudeurs en tous genres. PayPal promet que cette fois encore, toute transaction frauduleuse sera remboursée.
-
Sur le
même thème
- Risques d'espionnage : comment peut-on protéger ses données ?Publié le 26 juillet 2021 à 12h26
- Avec Mine, découvrez quelles sociétés détiennent vos données personnelles (et comment les effacer)Publié le 7 février 2020 à 16h09
- Comment Avast, le plus populaire des anti-virus gratuits, vendait vos données aux marquesPublié le 30 janvier 2020 à 17h58
- Paiement sans contact : les accessoires anti-piratage sont-ils vraiment efficaces ?Publié le 2 janvier 2020 à 20h10
- Paiements : votre smartphone peut-il remplacer la carte bancaire ?Publié le 7 octobre 2019 à 16h18
- Les données personnelles de 1,4 million de Français en vente sur le dark webPublié le 3 juin 2019 à 17h31
- VIDÉO - Google Pay arrive en France pour payer avec votre smartphone Android : on vous explique comment ça marchePublié le 11 décembre 2018 à 14h04
- Cartes bancaires, comptes mail, réseaux sociaux : tous à la merci d'un "détournement de SIM"Publié le 21 novembre 2018 à 16h59
- Vol d'identifiants, phishing à grande échelle, tromperie : le M. sécurité de Google décrypte les trois dangers qui vous guettentPublié le 2 novembre 2018 à 16h46
- Facebook : le piratage des comptes européens pourrait lui coûter plus d'un milliard de dollarsPublié le 1 octobre 2018 à 13h14
Tout
TF1 Info
- 2EN DIRECT - Séisme en Turquie et en Syrie : le bilan dépasse les 12.000 mortsPublié le 6 février 2023 à 7h16
- 3Séisme en Turquie et en Syrie : des oiseaux ont-ils prédit le tremblement de terre ?Publié le 7 février 2023 à 16h47
- 4Des tracteurs dans Paris : pourquoi les agriculteurs sont-ils en colère ?Publié hier à 10h49
- 5Les parents du meurtrier présumé de Magali Blandin se suicident à leur tourPublié le 7 février 2023 à 23h04
- 9Séisme en Turquie : l'image déchirante d'un père tenant la main de sa fille décédée sous les décombresPublié le 7 février 2023 à 22h42
- 2
- 3Coupe de France : Marseille élimine le PSG en huitièmes de finalePublié hier à 23h05
- 5VIDÉO - Zelensky reçu à l'Elysée avec les plus grands des honneursPublié hier à 22h40
- 10
- 2Les concurrents de ChatGPT débarquent : la guerre des chatbots ne fait que commencerPublié le 7 février 2023 à 17h53
- 3L'ASTUCE GEEK - Comment connecter votre ordinateur à Internet partout grâce à votre smartphonePublié le 8 novembre 2019 à 15h50
- 4Secours : les pompiers de Paris passent au véhicule électriquePublié le 5 février 2023 à 17h33
- 5Téléphone : qui vous appellera avec un numéro en 09 après le 1er janvier ?Publié le 6 septembre 2022 à 18h04
- 6L'ASTUCE GEEK - Que faire si votre disque dur externe n’est pas reconnu par votre ordinateur ?Publié le 29 mars 2019 à 17h01
- 7Twitter Blue débarque en France : voici ce qui va changerPublié le 3 février 2023 à 16h10
- 8L'ASTUCE GEEK - Comment ajouter vos propres fichiers musicaux à Spotify ?Publié le 17 janvier 2020 à 20h25
- 9Astuce geek : créez votre sonnerie d'iPhone à partir d'une musiquePublié le 17 février 2017 à 16h25
- 103nder : l'appli pour trouver un plan à 3Publié le 26 février 2014 à 15h37
- InternationalGuerre en Ukraine : la tournée diplomatique en Europe de Volodymyr Zelensky
- Police, justice et faits diversIncendie dans l'Aisne : 8 morts, dont 7 enfants
- Sujets de sociétéLa réforme des retraites à l'Assemblée, un mois de février chaud sur le front social
- InternationalUn séisme fait des milliers de victimes en Turquie et en Syrie
- InternationalUn puissant séisme endeuille la Turquie et la Syrie