L'identifiant PIN du porte-monnaie d'Androïd serait facile à cracker

MiaowZedong · 09/02/2012, 14h01

Les terminaux Android intégrent une solution de paiement sans contact, qui permet à l'utilisateur de payer par carte bancaire en frolant une borne avec son téléphone. Pour l'utiliser, le numéro de carte bancaire doit être fourni au téléphone.

Pour sécuriser les numéros de carte et autres données sensibles, Google utilise un "porte-monnaie" virtuel sécurisé par un PIN à 4 chiffres. Le risque pour les utilisateurs, c'est que le hash du PIN est accessible si le smartphone est en mode root.

En cas de vol du smartphone, ou en cas d'intrusion electronqiue sur un smartphone "rooté", l'assaillant peut lancer une attaque par force brute sur le hash du PIN qui n'a que 10^4 combinaisons possibles: il ne lui faut donc que quelques secondes pour retrouver le PIN.

Avec ce PIN il a donc accès aux informations bancaires et autres "sécurisées" dans le porte monnaie Google. À noter que le paiement sans contact, encore rare en France, est de plus en fréquent dans les pays Anglo-Saxons.

Source: The Register

Barsy · 09/02/2012, 15h46

Dans les pays anglo-saxons (voire dans tous les autres pays du monde), la carte bleue n'est pas aussi développée qu'en France. Il est donc normal que le système de paiement sans contact se développe aussi bien.

En France, je doute qu'un tel mode de paiement se démocratise. La carte bleue fonctionne bien et je ne pense pas que les gens soient prêts à changer pour un mode qui est (ou qui peut sembler) moins sécurisé. Moneo par exemple a été un échec.

09/02/2012, 14h01	#1
MiaowZedong Membre Expert Grand Timonier des Chats Inscription : décembre 2011 Messages : 439 Détails du profil Informations professionnelles : Activité : Grand Timonier des Chats Informations forums : Inscription : décembre 2011 Messages : 439 Points : 1 340 Points : 1 340	L'identifiant PIN du porte-monnaie d'Androïd serait facile à cracker Les terminaux Android intégrent une solution de paiement sans contact, qui permet à l'utilisateur de payer par carte bancaire en frolant une borne avec son téléphone. Pour l'utiliser, le numéro de carte bancaire doit être fourni au téléphone. Pour sécuriser les numéros de carte et autres données sensibles, Google utilise un "porte-monnaie" virtuel sécurisé par un PIN à 4 chiffres. Le risque pour les utilisateurs, c'est que le hash du PIN est accessible si le smartphone est en mode root. En cas de vol du smartphone, ou en cas d'intrusion electronqiue sur un smartphone "rooté", l'assaillant peut lancer une attaque par force brute sur le hash du PIN qui n'a que 10^4 combinaisons possibles: il ne lui faut donc que quelques secondes pour retrouver le PIN. Avec ce PIN il a donc accès aux informations bancaires et autres "sécurisées" dans le porte monnaie Google. À noter que le paiement sans contact, encore rare en France, est de plus en fréquent dans les pays Anglo-Saxons. Source: The Register
	00

09/02/2012, 15h46	#2
Barsy Expert Confirmé Ingénieur développement logiciels Inscription : octobre 2007 Messages : 1 127 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France, Loire Atlantique (Pays de la Loire) Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : octobre 2007 Messages : 1 127 Points : 2 600 Points : 2 600	Dans les pays anglo-saxons (voire dans tous les autres pays du monde), la carte bleue n'est pas aussi développée qu'en France. Il est donc normal que le système de paiement sans contact se développe aussi bien. En France, je doute qu'un tel mode de paiement se démocratise. La carte bleue fonctionne bien et je ne pense pas que les gens soient prêts à changer pour un mode qui est (ou qui peut sembler) moins sécurisé. Moneo par exemple a été un échec. __________________ "tatatatatatatatataaa !! tata taaa !! tata taaa !! tatatata tataaa !! tata taaa !! tata taaa !!"
	20

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email