Dans quelle mesure Square est-il sûr? Les chercheurs trouvent un certain nombre de trous

carréLe système de paiement mobile par carte de crédit Square a connu une croissance rapide. Le bébé du co-fondateur de Twitter, Jack Dorsey, est en mouvement depuis mai, depuis qu'il a annoncé des améliorations pour le produit à TechCrunch Disrupt. La possibilité pour les consommateurs d'effectuer des paiements mobiles, de trouver des détaillants acceptant Square et de recevoir des reçus numériques a consolidé Square en tant que logiciel de point de vente viable qui pourrait être un élément influent de l'évolution du commerce électronique.

Les consommateurs connaissent de nombreux changements en matière de vente au détail en ligne, y compris une foule d'avantages: les données de transaction stockées, la facilité d'utilisation et l'accessibilité constante ne sont que quelques-unes des mises à niveau. Mais aucune technologie n'est sans mise en garde et Square ne fait pas exception. Cnet a rapporté que lors de la conférence sur la sécurité Black Hat de cette semaine, les chercheurs ont annoncé que Square pouvait être utilisé pour accéder aux données de cartes de crédit volées.

La façon dont les voleurs ont pu faire cela est presque tellement impressionnante qu'il est difficile de s'en fâcher. Au lieu d'utiliser la carte réelle en question, une personne pourrait convertir les données de la bande magnétique en fichier audio à l'aide d'un microphone, puis la prendre et en utilisant un câble stéréo, elle pourrait la lire sur le gadget Square connecté à un smartphone. Et voilà: la possibilité de faire du shopping (de la variété numérique uniquement) sans carte.

Ce n'est pas tout. Pour le moment, Square ne propose pas de cryptage ou d'authentification matériel. Cela permet à l'appareil d'être utilisé pour parcourir les cartes à la recherche de données, puis de donner aux escrocs la possibilité d'effectuer des réplications. «Le dongle [l'appareil Square] est un skimmer. Il transforme n'importe quel iPhone en un skimmer… maintenant, vous avez besoin de moins de matériel technique pour le faire et aucune compétence technique du tout », a déclaré le chercheur Adam Laurie.

Le premier des deux hacks nécessite quelque chose d'un esprit technique, mais le second semble facile à utiliser, même pour certains des plus incompétents électroniquement. L'écrémage des données des cartes est la véritable préoccupation ici, car les marchands frauduleux de Square ont peu ou pas de succès à respecter ses normes de sécurité contre ce type d'activité. Mais pourquoi le matériel de Square reste non chiffré reste un mystère et laisse une faille de sécurité importante dans son système.

Le principal concurrent Verifone a souligné cette préoccupation plus tôt cette année, qui a été qualifiée de campagne de dénigrement. Quelles que soient les intentions, c'est un point valable, surtout compte tenu de l'utilisation croissante de Square. Square a déclaré que les appareils dotés de capacités de cryptage devraient sortir cet été, mais nous attendons tous toujours.