Le système de paiement sans contact du métro de New York présente une faille de sécurité. Toute personne ayant accès au numéro de carte de crédit d’une personne peut voir quand et où elle est entrée dans le métro de la ville au cours des sept derniers jours. Le problème réside dans une « fonctionnalité » sur le site Web d’OMNY, le système de paiement par clic de la Metropolitan Transportation Authority (MTA), qui vous permet de consulter l’historique de vos déplacements récents en utilisant uniquement les informations de votre carte de crédit. De plus, les entrées de métro achetées avec Apple Pay – qui donne aux commerçants un numéro virtuel au lieu de votre numéro réel – sont toujours liées d’une manière ou d’une autre à votre numéro de carte de crédit physique.
La mise en œuvre souple du MTA pourrait permettre aux harceleurs, aux ex violents ou à toute personne qui pirate ou achète les informations de carte de crédit d’une personne en ligne de savoir quand et où elle entre généralement dans le métro. Joseph Cox de 404 Médias a initialement rendu compte de l’histoire, détaillant comment (avec le consentement d’un passager) il a suivi les stations dans lesquelles ils sont entrés – avec les heures correspondantes. « Si j’avais continué à surveiller cette personne, j’aurais découvert la station de métro où elle commence souvent son voyage, qui est proche de chez elle », a écrit Cox. «Je saurais aussi à quelle heure précise cette personne peut prendre le métro chaque jour.»
« C’est un cadeau pour les agresseurs », a déclaré à Engadget Eva Galperin, directrice de la cybersécurité de l’Electronic Frontier Foundation. Le site Web OMNY permet également aux passagers de créer un compte protégé par mot de passe, mais il se trouve sous la section la plus visible « Vérifier l’historique du voyage » en haut de la page, ne nécessitant qu’un numéro et une date d’expiration sans aucune autre saisie de sécurité. « C’est un réel problème que l’option permettant de suivre votre position – sans aucune sorte de sécurité par mot de passe – soit disponible en premier sur le site Web », a noté Galperin. Elle dit que le MTA aurait pu « résoudre ce problème simplement » en incluant une exigence de code PIN ou de mot de passe à côté du champ de la carte de crédit.
Autorité métropolitaine des transports
Le site Web affiche toujours votre historique de voyage même si vous avez payé avec Apple Pay. Le fabricant d’iPhone affirme que son système Tap-to-Pay donne aux commerçants un numéro virtuel plutôt que le numéro de la carte physique. « Et lorsque vous payez, vos numéros de carte ne sont jamais partagés par Apple avec les commerçants », indique un texte marketing sur le site Web de l’entreprise. Mais un membre du personnel d’Engadget a confirmé que la saisie de son numéro de carte de crédit réel lié au compte Apple Pay utilisé – sans avoir directement utilisé cette carte pour rouler – révélait toujours son historique de sept jours au point d’entrée.
Interrogé sur le site Web OMNY reliant les deux, le MTA a déclaré à Engadget qu’il ne pouvait pas voir les numéros de carte de crédit des clients qui utilisent Apple Pay. Apple n’a pas immédiatement répondu à une demande de commentaires envoyée par courrier électronique sur la façon dont le site Web de MTA associe les deux sans que les fournisseurs aient accès au numéro de carte de crédit physique.
Le MTA déclare qu’il envisagera des changements de sécurité à mesure qu’il améliorera son système. « Le MTA s’engage à préserver la confidentialité des clients », a écrit le porte-parole du MTA, Eugene Resnick, à Engadget dans un e-mail. « La fonction d’historique des voyages permet aux clients de vérifier l’historique de leurs voyages payants et gratuits des 7 derniers jours sans avoir à créer un compte OMNY. Nous offrons également aux clients la possibilité de payer leur voyage OMNY en espèces. Nous cherchons toujours à améliorer la confidentialité et prendrons en compte les commentaires des experts en sécurité lorsque nous évaluerons d’autres améliorations possibles.