La faille de sécurité à l’intégration de PayPal à Google Pay
Il se pourrait que depuis un certain moment, il serait possible à des pirates informatiques d’utiliser des comptes PayPal pour effectuer des achats.
Cet exploit est possible grâce à une faille de sécurité qui a existerait dans la procédure d’intégration de PayPal à Google Pay.
Cet article va aussi vous intéresser : Une campagne de phishing contre les utilisateurs PayPal
Le problème a été révélé par plusieurs utilisateurs de PayPal qui ont affirmé avoir observé dans leur historique plusieurs transactions qui n’ont pas été effectuées par eux-mêmes et qui provenait de Google Pay. On pouvait voir ces témoignages sur plusieurs plateformes comme des forums dédiés à PayPal, sur Twitter et même Reddit. Ces témoignages étaient généralement accompagnés de captures d’écrans ou on pouvait voir que c’est généralement dans des magasins américains que les achats illicites ont été effectués avec des comptes d’utilisateurs. Une grande partie des victimes étaient des utilisateurs allemands.
Si du côté de PayPal les responsables ont annoncé qu’une enquête était en cours, du côté de Google, silence radio. On se demande alors quel a pu être le problème.
Un Chercheur en sécurité Informatique d’origine allemande a voulu expliquer à sa manière les causes de ce bug informatique. C’est sur Twitter qu’il essaie de démontrer sa théorie.
Markus Fenske, le chercheur en sécurité, déclare que les transactions illicites effectuées sur le compte des utilisateurs puisent leurs sources dans une faille de sécurité. Il aura signalé cette faille depuis février 2019, faille qu’il a découverte avec son collègue du nom de Andreas Mayer. Malheureusement, la firme financière n’a pas véritablement diligenté pour corriger cette vulnérabilité. Selon notre spécialiste de la sécurité informatique, tout se passe à l’heure de l’intégration du compte PayPal à Google Pay.
Durant cette procédure, PayPal va mettre en place une sorte de carte visuelle comportant son propre numéro de carte et d’autres informations permettant facilement l’identification de l’outil tel que la date d’expiration de la carte et le code de sécurité. En principe, l’idée est le permettre à tout les utilisateurs de Google Pay, de pouvoir se servir de cette carte visuelle pour effectuer une transaction en comptant sur ses fonds se trouvant sur PayPal. « Si la carte virtuelle était verrouillée pour ne fonctionner que sur les paiements en point de vente physique, il n’y aurait aucun problème.
Mais PayPal permet d’utiliser cette carte virtuelle pour les transactions en ligne également », explique l’expert. Alors, les hackers auraient sûrement pu trouver des moyens pour lire les informations sur ces cartes visuelles toujours selon Markus Fenske, les récolter et s’en servir pour réaliser les transactions à l’insu des véritables utilisateurs. Cependant, l’expert n’a pas manqué de soulever le fait que toutes ses explications ne sont que des Hypothèses. Que c’est par rapport à la faille de sécurité découverte depuis l’année dernière qu’ils se sont permis de faire une telle supposition.
PayPal de son côté a annoncé avoir lancé une enquête interne, pour éclaircir encore plus l’affaire. Ils ont affirmé prendre en compte les remarques faites par Markus Fenske, sans oublier le rapport qu’il avait rédigé avec son collègue en février 2019. « La sécurité des comptes de nos clients est une priorité absolue dans notre entreprise (…) Nous vérifions cette information et nous prendrons toutes les mesures appropriées et nécessaires pour protéger davantage nos clients. ». Annonçait le porte-parole de PayPal.
Accédez maintenant à un nombre illimité de mot de passe :