NFC : une nouvelle faille dans Google Wallet ?

Le service de paiement sans contact Google Wallet basé sur Android présenterait plusieurs failles de sécurité importantes.

Basées sur le code PIN elles permettent entre autres d’avoir un accès complet aux données bancaires stockées par l’application.

Joshua Rubin, chercheur chez Zvelo Labs affirme que la solution de paiement sans contact de Google ne serait pas suffisamment protégée. Le spécialiste aurait en effet découvert une faille de sécurité, permettant de casser rapidement et très simplement un code PIN utilisateur à l’aide d’un logiciel de « force brute ». Un pirate ayant passé la sécurité par code pourrait alors avoir accès à l’ensemble des données bancaires stockées dans l’application et par conséquent régler ses achats avec le téléphone subtilisé. Cependant le logiciel de « force brute » (qui teste toutes les possibilités), doit pour pouvoir casser le code PIN être lancé sur un téléphone débloqué et sans surcouche, ce qui restreint tout de même un peu les possibilités.

Une autre faille beaucoup plus simple à exploiter et par conséquent plus dangereuse a également été mise en avant. Selon le site The Smartphone Champ un simple effacement des données de l’application Google Wallet via le smartphone suffirait à la « pirater ». En effet l’application se remet alors à zéro et fourni un nouveau code PIN et un accès direct au compte prépayé associé à l’identifiant Google du propriétaire du smartphone.

Google aurait immédiatement été alerté et travaillerait d’ores et déjà sur la correction de ces problèmes. Des failles qui donnent à réfléchir sur les incidents que pourraient engendrer la technologie NFC après un déploiement à grande échelle.