Apple Pay est tellement répandu qu’il paraît presque impossible que des personnes mal intentionnées ne tentent pas d’en tirer profit. Une “faille” est exploitée pour extorquer de l’argent, voici comment elle fonctionne.
Apple Pay devenu la norme
Si vous possédez un iPhone, on espère que vous utilisez Apple Pay. Lancé en 2014, le service de paiement d’Apple permet d’utiliser son smartphone pour effectuer des achats sur de nombreuses plateformes. La puce NFC des iPhone fonctionne aussi sur toutes les bornes de paiement sans contact.
Un concept simple mais très utile pour Apple afin de créer une habitude chez les utilisateurs. D’un simple double tap du bouton d’allumage, et votre carte apparaît à l’écran. FaceID vous reconnaît et vous pouvez payer, tout simplement. Contrairement à une carte bancaire classique, il n’y a pas de plafond de paiement, étant donné que vous vous authentifiez avec votre visage (ou empreinte digitale).
Mais le fait que l’on puisse payer sans limite de montant, c'est ce qui attire les arnaqueurs, et des victimes sont déjà à déplorer.
Un SMS de la CPAM, arme d’arnaque Apple Pay
Alors qu’Apple Pay a tout pour plaire, il n’est malheureusement pas exempt de problèmes. D’après l'Observatoire de la sécurité des moyens de paiement de la Banque de France, le taux de fraude du service d’Apple est environ 5 fois supérieur à celui du paiement par carte bancaire en sans contact. Alors même que ce chiffre est à nuancer, il est indéniable que ce système n’est pas parfait.
Les arnaques par SMS sont déjà monnaie courante, mais beaucoup tombent encore dans le panneau. Il existe une astuce utilisée pour piéger les utilisateurs d’Apple Pay, et elle commence par un simple message sur votre téléphone, provenant de la CPAM (Caisse Primaire d’Assurance Maladie).
C’est évidemment un faux SMS, vous pressant de vous connecter à votre compte Améli, sous prétexte que votre carte vitale arrive à expiration, ou quelque chose dans le genre. Si vous succombez et cliquez sur le lien dans le texto, qui vous amène sur une reproduction habile du site de l’Assurance Maladie. Un complot parfait pour vous faire cracher vos données de carte bleue pour commander une nouvelle carte vitale.
Le truc, c’est qu’avec les divers moyens de sécuriser les paiements, obtenir le numéro de CB, la date d'expiration et le cryptogramme à trois chiffres ne suffit souvent pas. C’est là qu’Apple Pay entre en scène.
L’arnaqueur va s’emparer d’un iPhone, et lancer l’application Cartes. Ici, il démarre une procédure d’ajout de carte bancaire pour Apple Pay. Il remplit les coordonnées de la carte de la victime, et pour avoir confirmation, un code est envoyé par SMS sur le smartphone de ladite victime. Pensant valider la procédure d’envoi d’une nouvelle carte vitale, elle vient simplement de valider l’ajout de sa propre carte bancaire sur le compte Apple Pay du malfaiteur.
Dorénavant, l’arnaqueur n’a plus qu’à lancer Apple Pay sur son smartphone, s’identifier avec FaceID et le tour est joué, il peut acheter n’importe quoi. La Tribune rapporte justement l’histoire d’un couple s’étant fait dérobé 3700€ en étant piégé par ce subterfuge.
Mais alors comment éviter cela ? C’est simple, il ne faut pas faire confiance à un simple SMS. N’hésitez pas à vérifier si vous avez reçu un mail de la part de la CPAM, et rendez-vous directement sur votre compte Améli pour voir si une alerte s’y trouve. Si vous ne trouvez rien, il s’agit probablement d’une arnaque.