Nombreuses sont les personnes qui ont signalé avoir découvert un paiement non autorisé avec leur compte PayPal sur différentes plateformes comme les forums de PayPal ou encore Twitter. Leur point commun ? Elles se servaient tous de l'intégration de Google Pay à PayPal. Depuis ce vendredi 21 février, des transactions dépassant parfois le millier d'euros apparaissent ainsi dans leur historique PayPal, comme provenant de leur compte Google Pay. Cela fait depuis plusieurs mois déjà qu’il est possible de lier son compte Google Pay avec PayPal afin de faire des achats sur des sites de e-commerce. Sur Twitter, l'une des victimes indique ainsi avoir constaté un achat inhabituel de trois paires d'AirPods, pour l'équivalent de 500 dollars. Impossible, dès lors, d'annuler l'achat. Les dommages estimés se chiffrent pour le moment en dizaines de milliers d'euros, sur la base de rapports publics.
D’après Markus Fenske, un chercheur en cybersécurité avec pour alias « iblue » sur Twitter, les pirates ont exploité une faille dans l’intégration de Google Pay dans PayPal. Sur Twitter, l’expert affirme avoir averti la firme de l’existence d’une brèche en février 2019, mais le groupe n’en a pas fait une priorité.
Lorsque vous liez un compte PayPal à un compte Google Pay, PayPal crée une carte de crédit virtuelle, avec son propre numéro de carte, sa date d’expiration et son CVV, assure Fenske. « PayPal autorise les paiements sans contact via Google Pay. Si vous l’avez configurée, vous pouvez lire les détails de la carte d’une carte de crédit virtuelle à partir du mobile. Pas d’authentification nécessaire » regrette Markus Fenske. Dans ces conditions, les pirates sont alors en mesure de collecter les coordonnées des cartes virtuelles. Grâce à ces données, un hacker n’a aucune difficulté à faire des achats en magasin sur votre compte.
Les destinataires des transactions sont souvent des magasins Target, référencés dans les relevés sous la forme « Target T- ». Une recherche Google permet assez rapidement d’identifier la localisation de ces différents magasins.
« Si la carte virtuelle était verrouillée uniquement sur les transactions POS, il n'y aurait aucun problème, mais PayPal permet à cette carte virtuelle d'être utilisée pour les transactions en ligne », a déclaré Fenske.
Fenske pense que les hackers ont trouvé un moyen de découvrir les détails de ces « cartes virtuelles » et utilisent les détails de la carte pour des transactions non autorisées dans les magasins américains et allemands (la plupart des victimes sont en Allemagne).
Le chercheur a déclaré qu'il pourrait y avoir trois façons dont un attaquant pourrait obtenir les détails d'une carte virtuelle. Tout d'abord, en lisant les détails de la carte sur le téléphone ou l'écran d'un utilisateur. Ensuite, par un logiciel malveillant qui infecte l'appareil d'un utilisateur. Enfin en le devinant.
« Il pourrait être possible que l'attaquant ait simplement forcé le numéro de carte et la date de validité, qui est compris dans un intervalle d'environ un an », a déclaré Fenske. « Cela fait un espace de recherche assez petit ». Et de préciser que « Le CVC n'a pas d'importance », expliquant que « Tout est accepté ».
La réaction de PayPal
Cependant, Fenske a été le premier à admettre qu’il ne faisait que supposer le vecteur de l’attaque, même si les détails correspondent parfaitement au bogue qu'il a signalé l'année dernière. Pour sa part, l'équipe de sécurité de PayPal a commencé une enquête sur les transactions non autorisées.
Le personnel de PayPal examine différents problèmes, en plus du scénario d'attaque décrit par Fenske et son rapport de bogue de février 2019.
« La sécurité des comptes clients est une priorité absolue pour l'entreprise », a déclaré un porte-parole de PayPal. « Nous examinons et évaluons ces informations et prendrons toutes les mesures appropriées jugées nécessaires pour protéger davantage nos clients ».
Sources : Fenske, forums PayPal (1, 2, 3), Twitter (1, 2)
Et vous ?
Avez-vous un compte PayPal ? L'avez-vous lié à votre compte Google Pay ? Que pensez-vous du fait que PayPal n'aurait pas traité le bogue signalé comme une priorité ? 
