LoopPay, l’entreprise qui développe un système de paiement sans contact utilisé par le Samsung Pay, a été piratée pendant cinq mois sans qu’aucune donnée financière ni personnelle ne soit volée, révèle le New York Times. 

Plus qu’une concurrence technologique, c’est un scénario de thriller : le New York Times a révélé hier que des hackers chinois du groupe Codoso, proches du gouvernement de la République Populaire, ont attaqué en mars l’entreprise américaine LoopPay, achetée le mois précédent pour 250 millions de dollars par le géant sud-coréen Samsung.

LoopPay est une start-up qui développe MST, un système de transmission magnétique sécurisée pour payer sur tous lecteurs de cartes avec un boîtier magnétique intégré à son smartphone. Cette technologie avait été rachetée en février par Samsung pour concurrencer Apple Pay, qui ne dispose que de la technologie NFC et n’est donc pas compatible avec les cartes bancaires à bandes magnétiques.

LoopPay est donc un élément central du système de paiement sans contact SamsungPay, lancé aux Etats-Unis la semaine dernière et déjà présent en Corée du Sud où il a permis d’effectuer plus de 30 millions de dollars de transactions. Cette intrusion sur le réseau interne de LoopPay en mars n’a été découverte que cinq mois plus tard, et tenue secrète car « aucune donnée financière ni personnelle n’a été volée » selon un communiqué de Samsung publié sur le blog officiel de la marque.

Les premières enquêtes prouvent en effet une infiltration du réseau d’entreprise pendant cinq mois grâce à des backdoors cachées, une technique que le Codoso Group avait déjà utilisée en février lors de son attaque contre Forbes. Will Graylin, DG de LoopPay et co-directeur général de Samsung Pay a assuré que l’attaque était limitée au réseau interne de l’entreprise, et que le système de gestion des paiements était en sécurité.

L’entreprise insiste d’ailleurs sur ce point : les hackers n’auraient pas visé les données des utilisateurs mais uniquement la technologie MST elle-même.

Darlène Cedres, responsable de la sécurité des données chez Samsung a ainsi précisé dans un e-mail à Mashable que « Samsung Pay n’a pas été touché et à aucun moment une donnée de paiement personnelle n’a été en danger« . « C’était un accident isolé qui visait le réseau LoopPay, physiquement séparé du réseau Samsung Pay. […] Samsung est très engagé dans la sécurisation et la protection des données utilisateurs« , ajoute-t-elle.

Il est donc probable, si l’on en croit les affirmations de Samsung, que ce piratage relevait davantage de l’espionnage industriel que du vol de données utilisateurs.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !