● Next INpact Télécom 📅 16/04/2026 à 08:11

👤 Alexandre Laurent

🏷️ Tags : réseau rte stoc

Une erreur ? Avec un million de vues en moins de dix heures, et déjà des milliers de partages et d’extraits sur les réseaux sociaux, la dernière vidéo de la chaîne scientifique Veritasium (20,6 millions d’abonnés) est partie pour faire un véritable carton. Il faut dire que son titre est efficace : « Pouvez-vous voler 10 000 dollars à partir d’un iPhone verrouillé ? ». Pour faire bonne mesure, Veritasium s’est adjoint les services d’une autre vedette de YouTube, le vidéaste tech Marques Brownlee (20,9 millions d’abonnés). C’est l’iPhone personnel de ce dernier qui sert de cobaye pour cette vidéo de 26 minutes pendant laquelle Verisatium illustre, puis explique, comment il est possible, dans un environnement très contrôlé, de forcer un paiement à partir d’un iPhone verrouillé. L’opération est réalisée deux fois, avec des paiements de respectivement 5 et 10 000 dollars, qui sont effectivement validés avec le petit signal sonore caractéristique des transactions sans contact sur iPhone. Outre sa production haut de gamme, la vidéo est extrêmement didactique : elle explique en effet dans le détail comment le hack a pu être réalisé. Et pour cause : Veritasium met en scène ici une faille de sécurité découverte en 2021 et largement documentée depuis. Portée au crédit de chercheurs des universités britanniques de Birmingham et du Surrey, elle exploite une vulnérabilité qui affecte Apple Pay quand une carte Visa est configurée en mode Express Transit, c’est-à-dire la validation automatique de la transaction pour passer les portiques d’un transport en commun, telle qu’elle est déployée par exemple, dans le métro londonien. L’attaque, de type man in the middle, consiste à faire croire à l’iPhone de la victime que ce dernier communique avec un portique de contrôle, pour faire disparaître l’étape de la validation du paiement. Pour ce faire, il faut être équipé d’un iPhone avec une carte Visa en mode Express Transit et enregistrée dans le Wallet, d’un Proxmark utilisé comme émulateur de lecteur, d’un smartphone Android équipé d’une puce NFC. Il faut enfin que l’iPhone, qui peut effectivement rester verrouillé, soit au contact d’un terminal de paiement NFC, lui-même connecté à un ordinateur chargé de faire tourner le script qui génère le code nécessaire à la manœuvre. Bref, des images impressionnantes et une vulnérabilité avérée, mais une mise en œuvre particulièrement complexe, qui rend le scénario d’une exploitation en conditions réelles assez peu plausible. « Il s’agit d’un problème avec le système Visa, mais Visa ne pense pas que ce type de fraude puisse avoir lieu dans le monde réel, étant donné les multiples couches de sécurité en place. Dans le cas peu probable où un paiement non autorisé aurait lieu, Visa a clairement indiqué que les porteurs de cartes seraient protégés », commentait à ce sujet Apple en 2021. Visa et Apple maintiennent ce même discours en 2026 en réponse à Veritasium. Rappelons que les consommateurs victimes d’une fraude au paiement sans contact ont jusqu’à 13 mois après le débit des sommes pour demander à leur banque le remboursement de ces dernières, quel que soit le prestataire de carte bancaire impliqué. Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant. Accédez en illimité aux articles d'un média expert Profitez d'au moins 1 To de stockage pour vos sauvegardes Intégrez la communauté et prenez part aux débats Partagez des articles premium à vos contacts Abonnez-vous fofo9012 Premium Il y a 10 minutes Message 1 Signaler Bloquer cet utilisateur Rappelons que les consommateurs victimes d’une fraude au paiement sans contact ont jusqu’à 13 mois après le débit des sommes pour demander à leur banque le remboursement de ces dernières, quel que soit le prestataire de carte bancaire impliqué. Comme avec les prélèvements SEPA donc merci pour l'info. Par contre comment ça se passe ? autant en SEPA le commerçant connaît l'identité et peut émettre un contentieux en cas d'abus, là c'est bien souvent anonyme...Si je vais acheter pour 49€ à la supérette paye sans contact et que je me fais rembourser 12,5mois plus tard : je serais rembourser, quid du commerçant ? lrestoux Premium Modifié il y a 3 minutes Voir les réponses Message 2 Historique Aller au commentaire enfant Signaler Bloquer cet utilisateur Petite typo généralisée : le nom de la chaîne est « Veritasium ».(Ce commentaire pourra être détruit après usage ;-) ) Alexandre Laurent Équipe À l'instant En réponse à Message 2.1 Signaler Bloquer cet utilisateur corrigé, merci ! Signaler un commentaire Voulez-vous vraiment signaler ce commentaire ? Non Oui

🔗 Lire l'article original 👁️ 0 lecture