Première victime : Google Wallet. Le porte-cartes virtuel de Google a son accès protégé par code PIN. Une fois le PIN entré, les cartes qui lui sont rattachées deviennent accessibles. Les données de ces cartes sont stockées sur une puce sécurisée, appelée secure element et soudée sur le circuit mobile. Ces cartes virtuelles sont ensuite utilisées pour régler des transactions sans contact, via NFC.
A l’inverse des cartes bancaires physiques, pour lesquelles la vérification du code PIN est faite par le secure element, la vérification du code PIN du Google Wallet est faite sur le mobile. La mauvaise utilisation d’algorithmes cryptographiques dans un système d’exploitation sujet à attaques, et une faille dans la gestion du cycle de vie de l’application, ont été exploitées. Lire la suite de l'article...
Auteur : Hervé Sibert, 01net..
Continuer avec Linkedin