Paiements par mobile non sécurisés

Par Gilbert KALLENBORN – PaymentVillage.org – Publié le samedi 13 novembre 2021 à 14h15.

© Timur Yunusov Démonstration à l’occasion de Black Hat Europe 2021

De nouvelles failles découvertes dans les systèmes de paiement par mobile de Google et de Samsung : Un chercheur en sécurité a montré qu’il était possible de réaliser des paiements non authentifiés et sans plafond avec presque tous les portemonnaies et toutes les cartes. À condition d’avoir un terminal de paiement piraté sous la main.

La sécurité des portefeuilles mobiles est en train de devenir un véritable maquis : En octobre dernier, des chercheurs des universités britanniques de Birmingham et Surrey ont révélé qu’Apple Pay permettait d’effectuer des paiements non authentifiés et sans aucun plafond avec une carte virtuelle Visa, à condition que celle-ci soit configurée en mode « Carte de transport express ». Cette fonction, en effet, est une exception au modèle de sécurité des portefeuilles mobiles où l’authentification de l’utilisateur est la règle. Elle est destinée à faire des paiements rapides dans un réseau de transport urbain sans authentification.

Dans cette étude, les chercheurs estimaient que ce type d’attaque n’était possible qu’avec la combinaison Apple Pay et Visa. À l’occasion de la conférence Black Hat Europe 2021, le chercheur en sécurité Timur Yunusov de Positive Technologies a montré que la situation était en réalité beaucoup plus complexe que cela. Il s’est penché non seulement sur Apple Pay, mais aussi Samsung Pay et Google Pay. Et il a essayé de les combiner avec les principales cartes du marché, à savoir Visa, Mastercard et Amex. Résultat : à chaque fois, il a trouvé un moyen de faire un paiement non authentifié et sans plafond !

Une analyse méthodique : Pour y arriver, le chercheur s’est appuyé sur une interception des flux de type « Man in the Middle » et sur différentes faiblesses d’implémentation, généralement des champs de données et des cryptogrammes qui sont mal validés dans le déroulé protocolaire. Dans le cas du porte-monnaie Google Pay avec carte Visa, c’était immédiat. Cette faille, qui fonctionne avec tous les terminaux de paiement, a été découverte fin 2019 et elle n’est toujours pas corrigée. Pour toutes les autres combinaisons, en revanche, il faut disposer d’un terminal de paiement « modifié », autrement dit piraté. C’est en effet le seul moyen de pouvoir modifier certaines données des messages échangés.

© Timur Yunusov Image

La nécessité de disposer d’un terminal de paiement piraté réduit évidemment le risque de fraude, mais il ne l’élimine pas. Selon Timus Yunusov, l’usage de terminaux de paiement piratés — et donc de faux comptes de commerçant — serait courant dans les gangs de pirates, notamment en Amérique latine. Cette technique est utilisée depuis des années pour siphonner l’argent sur des cartes bancaires volées. Elle nécessite évidemment un certain niveau d’organisation et n’est donc pas à la portée du premier hacker venu.

Peu de réactions : Timur Yunusov a communiqué les résultats de ses recherches à toutes les parties prenantes. Mais les réponses qu’il a obtenues sont assez décevantes. Du côté d’Apple, de Google et de Samsung, on s’en lave souvent les mains. Les éditeurs soutiennent que le comportement de leurs « wallets » est conforme à ce qui est voulu. Autrement dit, s’il y a un problème, c’est aux réseaux de cartes de le résoudre. Mais ces derniers se montrent très peu loquaces sur le sujet. Ce qui ne veut pas dire qu’ils n’agissent pas discrètement. L’une des failles mentionnées dans le rapport du chercheur a été discrètement patchée par Mastercard après en avoir été informée de manière indirecte.

Lire la Source : https://www.msn.com/fr-fr/lifestyle/shopping/de-nouvelles-failles-d%C3%A9couvertes-dans-les-syst%C3%A8mes-de-paiement-par-mobile-de-google-et-de-samsung/ar-AAQF9yS?ocid=msedgntp#image=2

© par Bernard TRITZ

Paris – CAC 40 – au-dessus des 7.000

Par le Parisien – Publié le vendredi 05 novembre 2021 à 21h00.

© THOMAS SAMSON La Bourse de Paris évoluait vendredi matin au-dessus du seuil des 7 000 points pour la première fois de son histoire. (Thomas SAMSON / AFP)

Bourse de Paris – nouveau record pour le CAC 40, au-dessus des 7000 points : Un nouveau record battu ! Pour la première fois de son histoire, le CAC 40 a dépassé les 7.000 points, ce vendredi aux alentours de 9h12. À 9h32, l’indice avait ainsi atteint 7.016,1 points. L’indice a clôturé en fin de journée à 7.040 points (+ 0.76 % par rapport à la veille), marquant un nouveau record pour le quatrième jour consécutif. Il est monté jusqu’à 7.063 points en séance.

La veille, la Bourse de Paris était déjà euphorique terminant sur un nouveau plus haut à la fermeture, à 6.987 points. À Wall Street, les indices Nasdaq et S&P 500 ont également signé de nouveaux records, pour le cinquième jour consécutif.

Pourquoi un tel emballement ? L’abondance de liquidités apportées aux marchés financiers par les banques centrales et leurs mesures de soutien face à la crise a permis à la cote parisienne, comme d’autres places boursières, d’atteindre des sommets. « Les investisseurs continuent de se réjouir de la réticence de Jérôme Powell (le président de la Réserve fédérale américaine) à ouvrir le débat sur le relèvement des taux d’intérêt aux États-Unis, et ce, malgré la menace d’une hausse de l’inflation », estime Ipek Ozkardeskaya, analyste chez Swissquote. Ce dernier « veut juste continuer à soutenir le marché de l’emploi et la reprise économique », note-t-elle.

Dans ce contexte, le rapport mensuel du département américain du Travail attirera toute l’attention des marchés ce vendredi. Le président de la Fed, Jérôme Powell, a reconnu qu’il était « très difficile de prédire la persistance » et « les effets », notamment l’inflation, causés par les problèmes de logistique. Il estime toutefois que l’institution peut encore patienter avant de relever ses taux.

Ipek Ozkardeskaya indique que « la Banque d’Angleterre (BoE) s’est également abstenue de relever ses taux hier, les décideurs britanniques plaçant eux aussi la reprise économique avant la menace d’une inflation galopante ».

Lire la source : https://www.msn.com/fr-fr/finance/actualite/bourse-de-paris-nouveau-record-pour-le-cac-40-au-dessus-des-7000-points/ar-AAQlxWm?ocid=msedgntp#image=1

© par Bernard TRITZ

Planches à billets : Gabegies d’ampleur !

Par Barthélemy Dont sur The Economist – Publié le lundi 25 octobre 2021 à 7h50.

Dollar dollar bill, y’all. | Mufid Majnun via Unsplash

Des millions de billets de banque manquent à l’appel et personne ne s’en soucie : Comment expliquer que les banques centrales en impriment plus alors qu’ils sont moins utilisés ?

Nous utilisons de moins en moins d’argent liquide. Cette tendance de fond qui se poursuit depuis des années a accéléré pendant la pandémie, lorsque de nombreux commerces n’ont plus accepté que la carte bancaire. Pourtant, alors que l’utilisation du cash diminue, le nombre de billets en circulation ne cesse d’augmenter.

En vingt ans, explique The Economist, la valeur cumulée de toutes les pièces et billets en livres sterling a triplé, pour désormais atteindre les 75 milliards de livres (89 milliards d’euros). Seulement, le tiers de ces billets sont utilisés dans les transactions courantes. La situation est similaire pour le dollar et l’euro. En février, la Banque centrale européenne estimait que seuls 15% à 20% des euros liquides étaient utilisés pour des transactions au sein de la zone euro.

Or, contrairement à ce que l’expression « faire marcher la planche à billets » suggère, lorsque les banques centrales créent de l’argent, elles émettent de la monnaie virtuelle. Ce sont ensuite les banques commerciales qui leur demandent de l’argent afin d’alimenter leurs distributeurs. Cela veut dire que si le nombre de billets en circulation augmente, c’est forcément qu’il y a une demande. Mais à quoi peut-elle bien correspondre ?

Ce phénomène a été baptisé en 2009 le « paradoxe des billets de banque » par Andrew Bailey, alors directeur de la banque centrale britannique et premier à reconnaître officiellement cette curiosité. Car malgré le constat qu’il se passe quelque chose d’étrange, les banques centrales ne semblent pas particulièrement intéressées de savoir où disparaît leur cash.

Cash rules everything around me : Utilisation hors des frontières, accumulation de liquide, bas taux d’intérêts, baisse de confiance envers le système bancaire… Plusieurs hypothèses ont été avancées par les banques centrales, mais aucune ne suffit à expliquer les milliards manquants.

Selon The Economist, la police a bien plus de réponses à apporter que les banquiers au paradoxe des billets de banque. Mafias, organisations terroristes, gouvernements corrompus : le liquide permet aux criminels d’empêcher les autorités financières de mettre le nez dans leurs affaires et d’effectuer des transactions sans laisser aucune trace, y compris en traversant les frontières.

Pourquoi les gouvernements ne réévaluent-ils pas leur production de billets de banque, alors qu’elle est manifestement trop importante par rapport à l’utilisation réelle et finit souvent entre de mauvaises mains ?

The Economist suggère que cela pourrait avoir un lien avec le seigneuriage, et le bénéfice effectué lors de l’impression de monnaie. En effet, la différence entre le coût de production d’un billet et sa valeur nominale va directement dans les caisses de l’État.

L’UE a pendant des années imprimé des billets de 500 euros largement réputés pour ne servir qu’au crime organisé. Il a fallu attendre 2018, et que la Banque de France estime publiquement que le billet facilite le blanchiment et le financement du terrorisme, pour qu’elle cesse d’en émettre.

Lire la Source : https://korii.slate.fr/biz/economie-millions-billets-banque-manquent-appel-utilisation-cash-crime-organise-blanchiment

© Par Bernard TRITZ

Français : Argent liquide !

Par Le Figaro – Publié le dimanche 24 octobre 2021 à 14h50.

Alcel Vision / stock.adobe.com – 91% des Français déclarent qui leur arrive d’avoir recours régulièrement aux espèces quand 70% déclarent les utiliser « au quotidien ». Alcel Vision / stock.adobe.com

Les Français restent attachés à l’argent liquide : D’après une étude menée pour la Monnaie de Paris, huit Français sur 10 tiennent encore à l’argent liquide, notamment pour les petits paiements du quotidien.

Certains aiment en avoir toujours une réserve sous le matelas, d’autres encore ont régulièrement de belles sommes sur eux. Si le paiement sans contact par carte bleue s’est largement développé durant la pandémie de covid-19, ceux-ci ne délaissent pas pour autant leur bonne vieille monnaie, sonnante et trébuchante. Selon une enquête menée par Ipsos pour la Monnaie de Paris, une grande majorité d’entre eux privilégient le cash pour les petits achats du quotidien ou pour les actes de solidarité.

Ainsi 91% des Français interrogés ont déclaré avoir recours régulièrement aux espèces, quand 70% les utilisent « au quotidien ». Cet usage régulier de l’argent liquide n’est « pas l’apanage d’une cible particulière », souligne l’enquête, mais concerne tous les profils socio-démographiques. Seules 9% des personnes interrogées ont déclaré n’avoir jamais recours aux espèces.

Petits paiements : L’utilisation d’argent liquide est particulièrement prégnante pour les petits paiements du quotidien. Ainsi 87% des personnes interrogées déclarent se servir de cash chez les petits commerçants et 72% dans les distributeurs automatiques. Par ailleurs, les Français utilisent encore beaucoup leurs espèces pour faire des donations.

Ainsi l’argent liquide tient-il une véritable place de choix dans le cœur des Français, avec 83% d’entre eux qui déclarent y être attachés. Parmi les raisons qui les poussent à utiliser de le cash figure en tête la gratuité d’utilisation mais aussi la facilité des échanges entre particuliers. Par ailleurs, « la matérialité des espèces en fait un moyen de transmission de la valeur de l’argent aux plus jeunes », note encore l’étude.

Les modes de paiement dématérialisés provoquent selon l’étude « une réaction ambivalente ». « On leur prête des avantages fonctionnels (gain de temps pour 89% des gens, simplicité pour 72%) dans les mêmes proportions qu’ils inquiètent par leur caractère discriminant – [car excluant une partie de la population] – et le manque de transparence de leur écosystème », explique l’étude. Par ailleurs, 83% des personnes interrogées se disent « inquiets de voir disparaître les espèces ». Un sentiment partagé par les utilisateurs au quotidien de ce mode de paiement (87%) mais aussi par ceux qui leur préfèrent les paiements dématérialisés (73%).

Liberté de choix : Pour Marc Schwartz, le président-directeur général de la Monnaie de Paris, « cette étude confirme l’attachement des Français aux espèces comme moyen de paiement, en dépit du développement des alternatives dématérialisées. La liberté de choix entre les moyens de paiement demeure, plus que jamais, un pilier de la confiance dans la monnaie. L’étude montre aussi que la monnaie fiduciaire est perçue non seulement comme pratique et facile à utiliser, mais comme vecteur de lien social. Au-delà de son usage au quotidien, l’argent liquide continue à jouer un rôle dans notre société, pour la transmission entre générations, la pédagogie, et la solidarité ».

Lire la Source : https://www.lefigaro.fr/conjoncture/les-francais-restent-attaches-a-l-argent-liquide-20211024

© Par Bernard TRITZ

Retraits d’espèces : gros soucis

Par Nantcy Leone – Planet.fr – Publié le mercredi 06 octobre 2021 à 12h09.

Distributeurs de billets

Distributeurs de billets – ce gros changement qui va rendre plus difficile vos retraits d’espèces : Entre BNP Paribas, le Crédit Mutuel et la Société Générale, une mutualisation des distributeurs automatiques de billets (DAB) se profilent. Leur nombre pourrait considérablement chuter.

Les distributeurs automatiques de billets (DAB) vont-ils disparaître près de chez vous ? En raison de la chute des retraits d’espèces, trois banques – BNP Paribas, le Crédit Mutuel et la Société Générale – propriétaires de près d’un tiers des distributeurs en service en France (15.000 machines sur 48.000), envisagent de mutualiser leur parc pour une meilleure gestion. Elles ont annoncé ce mardi 5 octobre « étudier un projet de mise en commun de leurs automates bancaires pour garantir, ensemble et durablement, le meilleur accès au libre-service bancaire et renforcer l’offre de services pour leurs clients », rapporte Les Echos.

Jusqu’à fin 2021, ces établissements bancaires vont recueillir l’avis des représentants de leur personnel, collectivités ou transporteurs de fonds.

Mutualisation des distributeurs de billets – la baisse de paiement en cash en cause : Les paiements en cash et en chèque ne cessent de diminuer. D’après les résultats d’une enquête de la Banque centrale européenne publiés à la fin de l’année 2020, les Français sont d’ailleurs ceux qui se détournent le plus des règlements en argent liquide au sein de l’Europe.

Seules 59% des transactions sont réglées en espèces dans le pays, contre 35% par carte bancaire : Cela est dû en partie au fort déploiement des paiements sans contact depuis le début de la crise sanitaire. 39% des transactions sont désormais réalisées par carte en France, selon la Banque de France.

La baisse du nombre de distributeurs pourrait-il isolés davantage les territoires ruraux ?

Lire la Source : https://www.planet.fr/banque-distributeurs-de-billets-ce-gros-changement-qui-va-rendre-plus-difficile-vos-retraits-despeces.2320700.687347.html

© par Bernard TRITZ

Android – Cheval de Troie bancaire !

Par Gilbert KALLENBORN – 01net.com – ThreatFabric – Publié le vendredi 30 juillet 2021 à 12h36.

Androids

AndroidCe cheval de Troie bancaire prend le contrôle de votre appareil par VNC : Une application disponible sur le Google Play Store a infecté des milliers d’utilisateurs dans le but de réaliser des fraudes bancaires, au travers d’une technologie classique de prise de contrôle à distance.

Les chercheurs en sécurité de ThreatFabric ont détecté un nouveau type de cheval de Troie bancaire sur les smartphones Android. Baptisé Vultur, il a la particularité d’installer sur le terminal un serveur VNC (Virtual Network Computing), une technologie qui permet la prise en main à distance de systèmes informatiques. Les pirates s’appuient, en occurrence, sur AlphaVNC, une implémentation dédiée aux systèmes Android. Elle permet d’enregistrer en temps réel l’écran d’affichage et d’interagir avec celui-ci.

Parallèlement, ils utilisent des services qui ont pignon sur rue pour gérer les connexions et les échanges. Ainsi, le service ngrok leur permet de contourner les éventuels pares-feux et serveurs NAT qui feraient obstacle, afin de pouvoir accéder au serveur VNC sans encombre.

Le service de notification, Firebase, de Google est également utilisé pour envoyer des commandes depuis un serveur de contrôle. À cet arsenal s’ajoute, enfin, un enregistreur de frappes. C’est plus classique, mais toujours utile.

Une fraude plus difficile à détecter : Selon ThreatFabric, cette façon de faire tranche avec le fonctionnement usuel des chevaux de Troie bancaire sur Android, qui emploient généralement la tactique de l’overlay. Elle consiste à générer de fausses interfaces applicatives qui viennent se superposer aux applications bancaires réelles, dans le but d’intercepter les identifiants.

Vultur, de son côté, peut non seulement intercepter les identifiants, mais aussi intervenir sur le terminal et se connecter aux services bancaires. La fraude peut donc être réalisée directement sur l’appareil de la victime, ce qui évite l’enregistrement d’un nouvel équipement auprès de l’établissement bancaire, qui aura donc plus de mal à détecter l’attaque.

Le malware a été identifié sur la boutique Google Play, où il se faisait passer — comble de l’ironie — pour une application de sécurité appelée « Protection Guard ». Elle aurait été installée plus de 5.000 fois, principalement en Italie, en Australie et en Espagne. Le code malveillant cible plus d’une centaine d’applications bancaires et de cryptowallets.

Lire la Source : https://www.01net.com/actualites/android-ce-cheval-de-troie-bancaire-prend-le-controle-de-votre-appareil-par-vnc-2046596.html

© par Bernard TRITZ