Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des clients PayPal découvrent des paiements frauduleux effectués avec leurs comptes
Un chercheur en sécurité soupçonne l'utilisation d'une faille qu'il a signalé il y a déjà un an

Le , par Stéphane le calme

6PARTAGES

9  1 
Nombreuses sont les personnes qui ont signalé avoir découvert un paiement non autorisé avec leur compte PayPal sur différentes plateformes comme les forums de PayPal ou encore Twitter. Leur point commun ? Elles se servaient tous de l'intégration de Google Pay à PayPal. Depuis ce vendredi 21 février, des transactions dépassant parfois le millier d'euros apparaissent ainsi dans leur historique PayPal, comme provenant de leur compte Google Pay.

Cela fait depuis plusieurs mois déjà qu’il est possible de lier son compte Google Pay avec PayPal afin de faire des achats sur des sites de e-commerce. Sur Twitter, l'une des victimes indique ainsi avoir constaté un achat inhabituel de trois paires d'AirPods, pour l'équivalent de 500 dollars. Impossible, dès lors, d'annuler l'achat. Les dommages estimés se chiffrent pour le moment en dizaines de milliers d'euros, sur la base de rapports publics.


D’après Markus Fenske, un chercheur en cybersécurité avec pour alias « iblue » sur Twitter, les pirates ont exploité une faille dans l’intégration de Google Pay dans PayPal. Sur Twitter, l’expert affirme avoir averti la firme de l’existence d’une brèche en février 2019, mais le groupe n’en a pas fait une priorité.

Lorsque vous liez un compte PayPal à un compte Google Pay, PayPal crée une carte de crédit virtuelle, avec son propre numéro de carte, sa date d’expiration et son CVV, assure Fenske. « PayPal autorise les paiements sans contact via Google Pay. Si vous l’avez configurée, vous pouvez lire les détails de la carte d’une carte de crédit virtuelle à partir du mobile. Pas d’authentification nécessaire » regrette Markus Fenske. Dans ces conditions, les pirates sont alors en mesure de collecter les coordonnées des cartes virtuelles. Grâce à ces données, un hacker n’a aucune difficulté à faire des achats en magasin sur votre compte.

Les destinataires des transactions sont souvent des magasins Target, référencés dans les relevés sous la forme « Target T- ». Une recherche Google permet assez rapidement d’identifier la localisation de ces différents magasins.

« Si la carte virtuelle était verrouillée uniquement sur les transactions POS, il n'y aurait aucun problème, mais PayPal permet à cette carte virtuelle d'être utilisée pour les transactions en ligne », a déclaré Fenske.


Fenske pense que les hackers ont trouvé un moyen de découvrir les détails de ces « cartes virtuelles » et utilisent les détails de la carte pour des transactions non autorisées dans les magasins américains et allemands (la plupart des victimes sont en Allemagne).

Le chercheur a déclaré qu'il pourrait y avoir trois façons dont un attaquant pourrait obtenir les détails d'une carte virtuelle. Tout d'abord, en lisant les détails de la carte sur le téléphone ou l'écran d'un utilisateur. Ensuite, par un logiciel malveillant qui infecte l'appareil d'un utilisateur. Enfin en le devinant.

« Il pourrait être possible que l'attaquant ait simplement forcé le numéro de carte et la date de validité, qui est compris dans un intervalle d'environ un an », a déclaré Fenske. « Cela fait un espace de recherche assez petit ». Et de préciser que « Le CVC n'a pas d'importance », expliquant que « Tout est accepté ».

La réaction de PayPal

Cependant, Fenske a été le premier à admettre qu’il ne faisait que supposer le vecteur de l’attaque, même si les détails correspondent parfaitement au bogue qu'il a signalé l'année dernière. Pour sa part, l'équipe de sécurité de PayPal a commencé une enquête sur les transactions non autorisées.

Le personnel de PayPal examine différents problèmes, en plus du scénario d'attaque décrit par Fenske et son rapport de bogue de février 2019.

« La sécurité des comptes clients est une priorité absolue pour l'entreprise », a déclaré un porte-parole de PayPal. « Nous examinons et évaluons ces informations et prendrons toutes les mesures appropriées jugées nécessaires pour protéger davantage nos clients ».

Sources : Fenske, forums PayPal (1, 2, 3), Twitter (1, 2)

Et vous ?

Avez-vous un compte PayPal ?
L'avez-vous lié à votre compte Google Pay ?
Que pensez-vous du fait que PayPal n'aurait pas traité le bogue signalé comme une priorité ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tanaka59
Membre émérite https://www.developpez.com
Le 26/02/2020 à 0:44
Bonjour,

Avez-vous un compte PayPal ?
Oui tout naturellement

L'avez-vous lié à votre compte Google Pay ?
Certainement pas ! Et l'entourloupe est la ... Google play propose d'associer une CB ou un compte paypal en mettant le bouton accepter en vert et le bouton refuser ... en blanc ! C'est la porte ou vert à n'importe quoi , même une appli légitime peut se retrouver à débiter un compte .

Que pensez-vous du fait que PayPal n'aurait pas traité le bogue signalé comme une priorité ?
C'est passé sous le coup des radars !

===

Rien de plus débile que d'associer une carte bancaire ou un compte à système qui peut faire du débit automatique sans contrôle ... genre les nouveaux systèmes de péages en France . Une simple carte bancaire associé à une plaque d'immatriculation et ho le débit est fait.

Contre la fraude à la doublette mon *** ! L'usager lambda qui se fait frauder est souvent dans l'impossibilité de se faire recréditer ... Car en plus de la doublette, la voiture fraudeuse est aussi bien souvent de la même couleur !

Veridict, une personne de mon entourage c'est déjà retrouvé dans ce cas de figures ! Plusieurs dizaines d'amendes et une suspension de permis à cause d'une fraude à la plaque ! Le jour ou la gendarmerie vient vous annoncer la perte de votre permis de conduire c'est tout de suite moins drôle

===

Pour avoir taffé en milieu bancaire , un système de fraude qui existait un temps en Espagne . Les cartes bancaires volées, perdues ou périmées étaient utilisées pour payer du péage en piste magnétique ... Le problème c'est qu'un jour une carte a effectué un débit , sur un compte clos d'une personne décédée !

Plusieurs choses ubuesque dans l'affaire. Un compte clos de personne décédée, ne peut en aucun cas être débité par une banque au délà de 12 à 18 mois (sauf notaire selon les legislations). Un compte clos à 0 avec un dette , crée l'envoi d'un courrier pour solde négatif ... Donc l'envoi d'un courrier à mort et à huissier pour recouvrer ...

Situation qui peut provoquer à sourire , pourtant pas temps que cela ... L'automatisation à outrance crée des aberrations , résultat l'usager de bonne fois qui se fait frauder est dans l'impossibilité de le prouver ... Ne parlons pas non plus de la mécanique aberrante de recouvrement qui fonctionne , mais se retourne contre l'usager de bonne !

===

Le système d’Amazon est aussi pas mal dans ce cadre la ... Validation de l'achat avant même de vérifier si le moyen de paiement est correct ou non . Résultat ? Une génération de commande qui provoque un achat bloqué ... du coup l'acheteur est plus incité à acheter et changer son mode de paiement par un qui fonctionne.
5  2 
Avatar de tanaka59
Membre émérite https://www.developpez.com
Le 27/02/2020 à 0:11
Illustration parfaite de l'absurdité des contrôles automatiques des radars avec fraudes au niveau des plaques d'immatriculation : https://www.courrier-picard.fr/id712...-sur-autoroute
0  0