Comment hacker le système de paiement mobile de Starbucks


Le 11 février 2011 | Par B.L. dans A découvrir, Concept, Mobilité | 3 Commentaires


Souvenez-vous, en Novembre 2010, TBC vous proposait le premier test du système de paiement mobile de Starbucks. Le système permet en effet de payer en scannant le code de sa carte prépayée Starbucks enregistrée sur son téléphone mobile, devant un lecteur aux caisses du Starbucks (seulement aux Etats-Unis pour le moment).

Tout irait bien dans le meilleur des mondes, si un petit malin n’avait pas trouvé un moyen tout simple de hacker le système….et du même coup de montrer les faiblesses de ce moyen de paiement.

Comment faire??


Revenons aux bases du système: dans les magasins Starbucks aux US, vous pouvez acheter une carte de paiement sur laquelle vous pouvez mettre le montant de votre choix. Une fois payé, vous pouvez transférer le montant sur l’application de votre téléphone (iPhone, Android, Blackberry….) en entrant le code de la carte sur l’application que vous aurez au préalable téléchargée.
Ensuite, vous pouvez payer en lisant simplement le code barre qui s’affiche sur votre écran et qui représente votre carte…. et c’est là qu’il y a un problème.

Le Hack

  • Prenez le téléphone d’un ami qui a l’application Starbucks (et un peu d’argent sur son compte) sans lui dire.
  • Lancez l’application (il n’y a pas de mot de passe demandée au lancement de l’application)
  • Appuyez sur le bouton permettant d’afficher le code barre afin de procéder à un paiement
  • Sur un iPhone par exemple, appuyez sur les deux boutons en même temps afin de faire une capture d’écran
  • Envoyez vous la photo par email
  • Affichez la photo reçue en plein écran sur votre téléphone
  • Scannez le code sur la photo lors de votre achat: vous venez de vous offrir un café (ou plus) GRATUITEMENT

Oui, oui ce n’est pas plus compliqué que cela!!!!

Mais il y a pire encore: l’application permet d’accumuler des points lors de vos achats et devient ainsi une carte de fidélité mobile. Ainsi sur l’onglet “My Rewards” vous pouvez voir une animation montrant des petites étoiles en or tomber dans votre panier apres chaque achat……et pour voir cette animation, il faut entrer un code de sécurité, celui de votre carte, mais vous n’avez pas besoin de code lorsque vous voulez procéder à un paiement (!!!!!)

Vous avez dit sécurité???

Image du faux logo Starbucks via CriticalMas


Tags: ,



Commentaires/Trackbacks/Pingbacks
  1. Djobi dit :

    De ce que je comprends, c’est le possesseur de la carte prépayée qui va être débité ? Il est où le hack ? C’est du vol plutôt ?

  2. bertrand dit :

    J’ai utilisé le mot Hack afin de symboliser le fait que le système est très faiblement sécurisé.
    Mais quand un hacker s’introduit dans un système pour prendre des données c’est du vol aussi 😉

  3. JRGoodtime dit :

    C’est quand même incroyable que ça ne soit pas un code généré à usage unique sur une durée limitée…

Laisser un commentaire


RSS

Twitter JRGoodtime Twitter nincoroby
ToBeChanged est un blog collaboratif dédié aux nouvelles technologies, écrit à plusieurs mains par des passionnés. Nous essayons de vous faire découvrir nouveautés et réflexion, en dénichant pour vous des infos que vous ne trouverez pas sur les autres blogs de nouvelles technologies.

Partenaires


Archives