CurrentC, un concurrent d'ApplePay, se fait pirater, Réactions à la publication du 30/10/2014

[Lionel]

CurrentC est un système de paiement par smartphone que l'on peut considérer comme un concurrent d'ApplePay. MCX, qui tente de l'imposer, a envoyé une alerte à ses clients en les informant qu'une faille avait permis à des pirates de récupérer les adresses mail de leurs clients. A priori rien d'autre n'a été récupéré mais cela pourrait conduire à une campagne de phishing particulièrement bien ficelée puisque parfaitement ciblée.

Dans le principe ce système reste quand même différent de celui d'Apple. Là où ApplePay utilise des informations liées à des cartes de crédit, CurrenC utilise directement les informations bancaires, ce qui est plus dangereux mais aussi plus concurrentiel face aux sociétés émettrices de cartes bancaires. CurrentC est aussi moins partageur puisqu'il faut signer une clause interdisant la mise en place de systèmes concurrents pour l'adopter.

Cette nouvelle affaire, qui tombe au pire moment possible, risque surtout de détourner les clients de ce système vers d'autres. Elle souligne toutefois les nouveaux risques auxquels Apple s'expose en se lançant dans la monétique, devenir plus que jamais une cible pour tous les pirates du monde en mal de gros revenus mal acquis.
Lien vers le billet original

[aigo]

"CurrentC est aussi moins partageur puisqu'il faut signer une clause interdisant la mise en place de systèmes concurrents pour l’adopter."

Apple et Google peuvent également bloquer la diffusion de l’application CurrentC sous prétexte de sa vulnérabilité.

Pourquoi vous dites: Elle souligne toutefois les nouveaux risques auxquels Apple s'expose en se lançant dans la monétique, devenir plus que jamais une cible pour tous les pirates du monde en mal de gros revenus mal acquis.

Apple Pay ne stock pas les infos de la carte de crédit ou de débit dans le téléphone, c’est plutôt une sorte de clé ou token retourné par la banque lors de l’inscription de la carte dans le système Apple Pay, et ces clés là sont plutôt stockées dans un chip. Je ne vois pas qu’est-ce que les hackers peuvent faire avec un token chiffré.

[Chriz]

CurrentC est aussi moins partageur puisqu'il faut signer une clause interdisant la mise en place de systèmes concurrents pour l'adopter.

Quelque chose me dit qu'Apple tentera à son tour d'obtenir ce même genre d'exclusivité...

[HubertJaccard]

Terrible analyse. CurrenC (et non pas CurrentC) partage bien plus d'informations qu'ApplePay. En effet, avec ApplePay, le marchand ne voit absolument aucune donnée (ni le nom de l'acheteur, ni le numéro de la carte de crédit, rien). Par contre, CurrenC a été développé pour que les marchands puissent en savoir le plus possible au sujet de leurs clients, ce qui leur permettra de proposer des offres à la mesure à leurs clients et à développer d'énormes bases de données pour analyser notre comportement. Il est vrai que les utilisateurs peuvent choisir de ne pas partager certaines de ces données (par exemple leurs données médicales), mais il est très différent de permettre aux consommateurs de ne pas divulguer certaines informations que de ne rien partager, comme le propose Apple.

Donc, aucun risque pour Apple, mais énormément de risques pour CurrenC qui en amassant toutes ces données sensibles doit être capable de les protéger de forme efficace si elle ne veut pas affronter d'énormes sanctions en cas de piratage (ce qui vient d'arriver). Ce qui est presque sûr c'est que les responsables du piratage sont probablement des hackers qui en veulent aux entreprises qui poussent l'adoption de CurrenC, un système pas très amical pour les utilisateurs et qui cherche surtout à aider les entreprises comme Best Buy ou Walmart à économiser le coût des commissions qu'elles doivent payer à Mastercard, Visa ou American Express.

[iAPX]

Apparemment beaucoup de gens semblent penser qu'ApplePay ne sera pas hacké, ni hackable, sous prétexte qu'il ne stocke pas d'informations personnelles?!?

Les informations personnelles ne seront pas récupérées puisque pas demandées ni stockées (quoique on pourrait avoir des surprise avec du swap ou un scan de la RAM, mais c'est une autre histoire). En revanche, la façon de hacker ApplePay est de générer les mêmes token, en ayant accès à la clé de chiffrement utilisée. Je ne dis pas qu'ApplePay n'est pas sur, je dis plutot qu'aujourd'hui personne ne peut garantir sa sécurité et que le temps nous montrera d'ici 1 à 2ans quel est son véritable niveau de sécurité. Pour ma part je parie sur un hack permettant de falsifier des paiements ApplePay d'ici l'été 2015, sous une forme ou une autre, notamment sur les iPhone jailbreaké (ça s'en vient).

Pour ce qui est de CurrentC, c'est comme on dit chez nous "Broche à foin", ou dit autrement des rigolos!

@algo le token est chiffré, mais comment? Qui envoie la clé de chiffrement, qui authentifie qu'elle n'est pas issue d'un middle-tier ou d'une contrefaçon pour utiliser un numéro de carte de crédit, etc.
Et où sont stockées ces belles clés magiques en cas de chiffrement asymétrique? Oh je pense qu'il va y avoir du jeu solide chez les hackers pour détourner tout ce beau système!

Ce message a été modifié par iAPX - 30 Oct 2014, 03:03.

[PO_]

A titre personnel, je ne vois vraiment pas l'intérêt de ces systèmes de paiement. Surtout quand on pense à toute la potentielle vulnérabilité qu'il y a derrière.

[rimshot]

CurrentC est aussi moins partageur puisqu'il faut signer une clause interdisant la mise en place de systèmes concurrents pour l'adopter.

Quelque chose me dit qu'Apple tentera à son tour d'obtenir ce même genre d'exclusivité...

Désolé mais information fausse dans leur dernier communiqué de presse CurrentC encourage les enseignes a ne pas exclure ApplePay.

[r@net54]

Apparemment beaucoup de gens semblent penser qu'ApplePay ne sera pas hacké, ni hackable, sous prétexte qu'il ne stocke pas d'informations personnelles?!?

Les informations personnelles ne seront pas récupérées puisque pas demandées ni stockées (quoique on pourrait avoir des surprise avec du swap ou un scan de la RAM, mais c'est une autre histoire). En revanche, la façon de hacker ApplePay est de générer les mêmes token, en ayant accès à la clé de chiffrement utilisée. Je ne dis pas qu'ApplePay n'est pas sur, je dis plutot qu'aujourd'hui personne ne peut garantir sa sécurité et que le temps nous montrera d'ici 1 à 2ans quel est son véritable niveau de sécurité. Pour ma part je parie sur un hack permettant de falsifier des paiements ApplePay d'ici l'été 2015, sous une forme ou une autre, notamment sur les iPhone jailbreaké (ça s'en vient).

Pour ce qui est de CurrentC, c'est comme on dit chez nous "Broche à foin", ou dit autrement des rigolos!

@algo le token est chiffré, mais comment? Qui envoie la clé de chiffrement, qui authentifie qu'elle n'est pas issue d'un middle-tier ou d'une contrefaçon pour utiliser un numéro de carte de crédit, etc.
Et où sont stockées ces belles clés magiques en cas de chiffrement asymétrique? Oh je pense qu'il va y avoir du jeu solide chez les hackers pour détourner tout ce beau système!

+1
une information encodee et qui peut être décodée, peut l'etre par toute personne qui détient la clef…
Apres c'est juste une question de temps et de moyens. C'est justement cette question de temps et de moyens qui fait que la recherche de cette clef peut être rentable ou pas par rapport au bénéfice escompte et au risque pris.

La solution d'Apple semble être très robuste (a condition que les gentils agents des merveilleuses agences de sécurité veuillent pas y mettre un backdoor) et n'utilise pas d'information personnelle, donc on peut que voler comme tu dis un jeton, ou l'intercepter. Apres il faut connaitre les autres informations (nature de la transaction, parties (client/vendeur/organisme financier,…) et pouvoir s'en servir.
En première année de sécurité informatique (ça me rajeuni pas ca), notre prof nous avait dit: " pourquoi prendre des risques pour dérober des numero de carte bancaire, alors qu'il est si simple d'en fabriquer de faux vrais… sans le moindre risque..."

[Fafnir]

Macbidouille pourrait il nous dire si ce système est applicable au Navigo (ou équivalent)?
En ce moment à Vancouver Translink cherche à installer ce genre de paiement mais en plus faire payer à la distance donc oblige à pointer à la sortie, sauf que cela ne fonctionne pas comme prévu.

[Lennart]

Quand on voit tout ce qui peut être piraté avec un simple bricolage, ça n'augure rien de bon pour ces technologies de paiement sans contact.
A voir : NFC Paiement sans contact .... et sans risques.

[codeX]

CurrentC est aussi moins partageur puisqu'il faut signer une clause interdisant la mise en place de systèmes concurrents pour l'adopter.

Quelque chose me dit qu'Apple tentera à son tour d'obtenir ce même genre d'exclusivité...

Normal, de la part du diable. Il n'a pas assez des 6-700 millions de cartes de crédit enregistrées chez lui.

[ManiX]

Macbidouille pourrait il nous dire si ce système est applicable au Navigo (ou équivalent)?
En ce moment à Vancouver Translink cherche à installer ce genre de paiement mais en plus faire payer à la distance donc oblige à pointer à la sortie, sauf que cela ne fonctionne pas comme prévu.

Cherche le mot-clé "felica" c'est le système que tu décris, en service depuis 10 ans au Japon.

[LordJohnWhorfin]

A titre personnel, je ne vois vraiment pas l'intérêt de ces systèmes de paiement. Surtout quand on pense à toute la potentielle vulnérabilité qu'il y a derrière.

C'est déjà beaucoup moins vulnérable qu'une carte de crédit (impossible à cloner par un caissier indélicat, par exemple). Rien qu'à ce titre, c'est intéressant.

[zorphil]

Fortuna Audaces Juvat...

[macinoe]

Fortuna Audaces Juvat...

Ce qui signifie : "Patick Juvet est un peu dur de la feuille"

[btrio]

"gros revenus mal acquis"

Pléonasme?

[ManiX]

A titre personnel, je ne vois vraiment pas l'intérêt de ces systèmes de paiement. Surtout quand on pense à toute la potentielle vulnérabilité qu'il y a derrière.

A titre personnel je me méfie davantage de l'argent liquide, qui peut se perdre, se voler, ou être contrefait. Ce n'est que dans les pays archi-sûrs (Japon, Allemagne) ou dépourvus de moyens techniques de paiement que les gens se promènent avec des liasses de billets de 500€.

[Chriz]

A titre personnel je me méfie davantage de l'argent liquide, qui peut se perdre, se voler, ou être contrefait. Ce n'est que dans les pays archi-sûrs (Japon, Allemagne) ou dépourvus de moyens techniques de paiement que les gens se promènent avec des liasses de billets de 500€.

Difficile de voler une très grosse somme en argent liquide (i.e. M$) sans que personne ne s'en aperçoive. La contrefaçon n'est pas à la portée de tous non plus (et l'est de moins en moins). Même si on trouve la technique sur le web, l'acquisition de l'encre, les plaques, le papier spécialisé, les filigranes, etc. Tout ça est difficile à obtenir. Sans compter qu'il reste plus facile de remonter à la source si la distribution est trop importante.

J'ai rarement entendu quelqu'un se plaindre de s'être fait voler ou d'avoir perdu en comptant le contenu entier de son compte en banque en allant au resto du coin...

[PO_]

Je ne parlais pas du paiement par carte, mais seulement des paiement de type NFC et celui interoduit par Apple.

[Oliv333]

A titre personnel, je ne vois vraiment pas l'intérêt de ces systèmes de paiement. Surtout quand on pense à toute la potentielle vulnérabilité qu'il y a derrière.

C'est déjà beaucoup moins vulnérable qu'une carte de crédit (impossible à cloner par un caissier indélicat, par exemple). Rien qu'à ce titre, c'est intéressant.

Si j'ai bien compris le paiement est validé via touch-id c'est à dire une reconnaissance d'empreinte digitale. Or si mon code CB à quatre chiffres n'est stocké qu'à l'intérieur de mon cerveau, mes empreintes elles sont partout : sur la poignée de la porte de mon bureau, sur ma souris, sur la barre du wagon de métro, sur mon verre à bière au bistrot, sur ma tasse à café, sur la portière de ma voiture ...

Je ne suis pas un spécialiste en sécurité, mon métier n'a même rien à voir avec l'informatique, mais de mon point de vue de néophyte, ça parait complètement illusoire de parler de "sécurité" avec un système validé par empreintes digitales.

[jordancavanaugh]

Si j'ai bien compris le paiement est validé via touch-id c'est à dire une reconnaissance d'empreinte digitale. Or si mon code CB à quatre chiffres n'est stocké qu'à l'intérieur de mon cerveau, mes empreintes elles sont partout : sur la poignée de la porte de mon bureau, sur ma souris, sur la barre du wagon de métro, sur mon verre à bière au bistrot, sur ma tasse à café, sur la portière de ma voiture ...

Je ne suis pas un spécialiste en sécurité, mon métier n'a même rien à voir avec l'informatique, mais de mon point de vue de néophyte, ça parait complètement illusoire de parler de "sécurité" avec un système validé par empreintes digitales.

Tu suggères donc que des esprits mal intentionnés vont réaliser une empreinte de tes empreintes, puis une fois que ces copies d'empreintes auront été validées, ils s'empareront de ton téléphone pour valider des paiements avec ces "moulages" ?
Evidemment il faut aussi copier les couches profondes de la peau ("The sensor uses advanced capacitive touch to take a high-resolution image from small sections of your fingerprint from the subepidermal layers of your skin").

Même si je n'ai aucun doute que tout ceci est techniquement possible, un petit conseil: si tu as un besoin urgent de cash, tu gagneras du temps en attaquant Mamie et en lui piquant son sac à main. D'autre part, si quelqu'un veut te faire cracher "ton code CB à quatre chiffres n'est stocké qu'à l'intérieur de mon cerveau", je te rappelle qu'il y a d'excellentes techniques pour ça. Du couteau sous la gorge au waterboarding en passant pour le bon vieux coup de pied dans les couilles, je suis certain que ton code peut sortir de ton cerveau en moins de temps qu'il n'en faut pour copier tes empreintes.

Bref, restons réalistes...

[ManiX]

mon code CB à quatre chiffres n'est stocké qu'à l'intérieur de mon cerveau

Le code à 4 chiffres est capturable à chaque fois que tu le saisis sur un terminal, avec nettement moins de complications que tes empreintes.

[Oliv333]

Si j'ai bien compris le paiement est validé via touch-id c'est à dire une reconnaissance d'empreinte digitale. Or si mon code CB à quatre chiffres n'est stocké qu'à l'intérieur de mon cerveau, mes empreintes elles sont partout : sur la poignée de la porte de mon bureau, sur ma souris, sur la barre du wagon de métro, sur mon verre à bière au bistrot, sur ma tasse à café, sur la portière de ma voiture ...

Je ne suis pas un spécialiste en sécurité, mon métier n'a même rien à voir avec l'informatique, mais de mon point de vue de néophyte, ça parait complètement illusoire de parler de "sécurité" avec un système validé par empreintes digitales.

Tu suggères donc que des esprits mal intentionnés vont réaliser une empreinte de tes empreintes, puis une fois que ces copies d'empreintes auront été validées, ils s'empareront de ton téléphone pour valider des paiements avec ces "moulages" ?
Evidemment il faut aussi copier les couches profondes de la peau ("The sensor uses advanced capacitive touch to take a high-resolution image from small sections of your fingerprint from the subepidermal layers of your skin").

Même si je n'ai aucun doute que tout ceci est techniquement possible, un petit conseil: si tu as un besoin urgent de cash, tu gagneras du temps en attaquant Mamie et en lui piquant son sac à main. D'autre part, si quelqu'un veut te faire cracher "ton code CB à quatre chiffres n'est stocké qu'à l'intérieur de mon cerveau", je te rappelle qu'il y a d'excellentes techniques pour ça. Du couteau sous la gorge au waterboarding en passant pour le bon vieux coup de pied dans les couilles, je suis certain que ton code peut sortir de ton cerveau en moins de temps qu'il n'en faut pour copier tes empreintes.

Bref, restons réalistes...

Envisager de se faire voler son téléphone c'est "réaliste" ou pas ?
Bon maintenant quelqu'un qui me vole mon téléphone il y a mes empreintes dessus, non ?

Qu'est ce qui me garantit qu'un petit génie de la copie d'empreinte de la chimie de la peau ou de ce que tu veux ne va pas trouver un système simple et bon marché pour utiliser le touch id de mon téléphone à l'aide des empreintes qui sont déjà dessus ?
Absolument rien ...
Ah si, on est censé croire Apple sur parole (!) quand la société précise que ce sont aussi les couches profondes de la peau qui sont scanés (c'est censé rassurer), j'aimerai bien savoir par quel procédé vu que le touch id est passif (pas de vrai "scan" donc))

Le code à 4 chiffres est capturable à chaque fois que tu le saisis sur un terminal, avec nettement moins de complications que tes empreintes.

Je serai curieux de savoir de quelle façon ...
Si tu me dis "en regardant par dessus ton épaule" là c'est carrément pas "réaliste" ... ou alors prévois coquille et protège-tibias ...

[jordancavanaugh]

Envisager de se faire voler son téléphone c'est "réaliste" ou pas ?
Bon maintenant quelqu'un qui me vole mon téléphone il y a mes empreintes dessus, non ?

Qu'est ce qui me garantit qu'un petit génie de la copie d'empreinte de la chimie de la peau ou de ce que tu veux ne va pas trouver un système simple et bon marché pour utiliser le touch id de mon téléphone à l'aide des empreintes qui sont déjà dessus ?
Absolument rien ...
Ah si, on est censé croire Apple sur parole (!) quand la société précise que ce sont aussi les couches profondes de la peau qui sont scanés (c'est censé rassurer), j'aimerai bien savoir par quel procédé vu que le touch id est passif (pas de vrai "scan" donc))

Si tu m'avais lu, je n'ai jamais écrit que ça n'était pas possible. Seulement le processus à mettre en oeuvre me semble totalement disproportionné pour un résultat incertain. D'autant plus qu'il faut aller vite (personnellement, si je me fais voler mon iPhone, je le transforme en brique en quelques minutes).
Finalement, je te rappelle que le Touch ID est en service depuis plus d'un an. Tes petits génies ne sont pas des rapides.
Une fois encore, je ne nie pas que c'est techniquement possible mais il y a des moyens un peu plus faciles à mettre en oeuvre pour piquer du fric. Il sera toujours bien plus rapide de te faire cracher un code, que ce soit pour une telephone ou pour une carte. Or, à part quand il s'agit de piquer des très grosses sommes, les petits voleurs privilégient les techniques simples, rapides et éprouvées. Je ne pense pas que les Ocean's Eleven vont entre en action pour vider ton CCP.

PS: moi non plus je ne comprends pas comment ils prétendent lire les couches "profondes" de la peau avec un "capacitive touch". Je suppose qu'ils veulent simplement rappeler que l'aspect superficiel de la peau résulte de ce qui est en profondeur, ce qui est évident (sinon on changerait d'empreintes en permanence vu qu'on perd au moins un million de kératinocytes par jour). Donc, indirectement, ils mesurent ce qui se passe sous la surface. Marketing...
http://support.apple.com/kb/ht5949

[marc_os]

[...]
PS: moi non plus je ne comprends pas comment ils prétendent lire les couches "profondes" de la peau avec un "capacitive touch". Je suppose qu'ils veulent simplement rappeler que l'aspect superficiel de la peau résulte de ce qui est en profondeur, ce qui est évident (sinon on changerait d'empreintes en permanence vu qu'on perd au moins un million de kératinocytes par jour). Donc, indirectement, ils mesurent ce qui se passe sous la surface. Marketing...
http://support.apple.com/kb/ht5949

Ce n'est pas que du marketing.
S'ils prenaient une photo de l'empreinte, n'importe quelle copie pourrait tromper le capteur.
Les capteurs "capacitifs" réagissent aux propriétés capacitives des objets à proximité.
Ils peuvent être très précis et permettre des mesures d'épaisseurs/distances de l'ordre du nanomètre.
Avec le même dessin d'empruntes, un doigt vivant, un doigt mort et une feuille de papier ont des propriétés diélectriques différentes ce qui permet au capteur de "voir" nettement... la différence.
Cf. un peu de théorie pratique ici.

Ce message a été modifié par marc_os - 30 Oct 2014, 16:17.

[2012]

Terrible analyse. CurrenC (et non pas CurrentC) partage bien plus d'informations qu'ApplePay. En effet, avec ApplePay, le marchand ne voit absolument aucune donnée (ni le nom de l'acheteur, ni le numéro de la carte de crédit, rien). Par contre, CurrenC a été développé pour que les marchands puissent en savoir le plus possible au sujet de leurs clients, ce qui leur permettra de proposer des offres à la mesure à leurs clients et à développer d'énormes bases de données pour analyser notre comportement. Il est vrai que les utilisateurs peuvent choisir de ne pas partager certaines de ces données (par exemple leurs données médicales), mais il est très différent de permettre aux consommateurs de ne pas divulguer certaines informations que de ne rien partager, comme le propose Apple.

Donc, aucun risque pour Apple, mais énormément de risques pour CurrenC qui en amassant toutes ces données sensibles doit être capable de les protéger de forme efficace si elle ne veut pas affronter d'énormes sanctions en cas de piratage (ce qui vient d'arriver). Ce qui est presque sûr c'est que les responsables du piratage sont probablement des hackers qui en veulent aux entreprises qui poussent l'adoption de CurrenC, un système pas très amical pour les utilisateurs et qui cherche surtout à aider les entreprises comme Best Buy ou Walmart à économiser le coût des commissions qu'elles doivent payer à Mastercard, Visa ou American Express.

Non, c bien CurrentC avec un T !
Bien joué pour un premier post !



Ce message a été modifié par 2012 - 30 Oct 2014, 16:52.

[Twisell]

CurrentC est aussi moins partageur puisqu'il faut signer une clause interdisant la mise en place de systèmes concurrents pour l'adopter.

Quelque chose me dit qu'Apple tentera à son tour d'obtenir ce même genre d'exclusivité...

Désolé mais information fausse dans leur dernier communiqué de presse CurrentC encourage les enseignes a ne pas exclure ApplePay.

Non, faux démenti. CurrentC possède actuellement une clause d'exclusivité mais envisage de s'ouvrir à l'avenir (sic.) . Et ils ont également rappelé que les partenaires pouvaient quitter à tout moment l'initiative CurrentC "sans frais" (à part leur mise initiale).

CurrentC est aussi moins partageur puisqu'il faut signer une clause interdisant la mise en place de systèmes concurrents pour l'adopter.

Quelque chose me dit qu'Apple tentera à son tour d'obtenir ce même genre d'exclusivité...

Normal, de la part du diable. Il n'a pas assez des 6-700 millions de cartes de crédit enregistrées chez lui.

Sauf que justement la solution de "facilité" eu été de proposer un système équivalent à CurrentC ou Apple utiliserais les coordonnées bancaires déjà saisie dans iTunes pour payer les commerçant en prenant une commission au passage.
Mais ce n'est pas le choix qu'ils ont retenus puisque qu'Apple Pay est totalement indépendant d'une éventuelle carte utilisée pour iTunes et est compatible avec le standard EMV.
C'est ce qui explique qu'il communiquent sur leur premier million de cartes ayant activé Apple Pay, une goutte d'eau en opposition au 600 millions que tu évoques.

C'est finement joué car au passage ils anticipent sur toutes les critiques éventuelles au titre de l'antitrust. Apple Pay n'est qu'une solution parfaitement optionnelle parmi d'autres.

Ce message a été modifié par Twisell - 30 Oct 2014, 20:00.

[FolasEnShort]

Y'a pas à dire, ça part fort euç't'affaire.

[Twisell]

Encore du neuf, la chaine Meijer adhérente à MCX viens d'annoncer publiquement qu'elle continuerais à proposer ApplePay, Google Wallet et globalement tous les solutions TapToPay EMV à ses clients. L'alliance vacille donc déjà.

Et ailleurs d'autres évoquent justement le risque pour MCX de tomber sous le coup d'une enquête antitrust.
Car si l'abandon d'ApplePay par un commerçant est tout à fait légal, l'orchestration et l'incitation d'un boycott généralisé des adhérents de MCX serait quand à elle franchement tendue du slip.
Pour rappel et à titre de comparaison, Apple s'est fait condamner en première instance l'an dernier pour avoir mis les maison d'éditions autours d'une table et lancé une discussion sur le prix du livre...

Ce message a été modifié par Twisell - 31 Oct 2014, 01:20.