L'e-banking est aussi concerné par les failles liées à la négligence des codes open source
Selon un rapport publié récemment par ImmuniWeb, les banques en ligne et les start-up de la Fintech présenteraient de nombreuses failles en matière de sécurité. Ainsi, le niveau de sécurité observé dans le secteur n’est pas à la hauteur de leur stratégie focalisée sur le digital. Il en est de même pour les services en ligne des banques traditionnelles.
ImmuniWeb est une entreprise spécialiste de la sécurité du Web. En juillet dernier, elle a signalé de nombreux problèmes sur les sites des grands établissements bancaires. Parmi les 100 banques considérées, 97 sont ainsi vulnérables à des attaques (Web ou mobiles). Par ailleurs, 37 souffrent de vulnérabilités connues.
EtudeL’étude indique aussi que 49 sites de e-banking n’ont pas passé les tests de conformité à la norme PCI-DSS. Par ailleurs, 25 ne disposent pas de Web Application Firewall (WAF), un pare-feu pourtant indispensable dans le domaine. Enfin, la majorité des banques en ligne et des applications mobiles présenteraient d’importantes failles de sécurité évitables.
Je compare les offres bancaires
Des services relativement sécuritaires
L’étude publiée par ImmuniWeb révèle que les Fintech réalisent un score assez proche des grandes banques. Elles ont même obtenu une meilleure note, en faisant abstraction de la complexité des systèmes informatiques que les établissements traditionnels doivent gérer au quotidien.
Ainsi, 95 % des sites des Fintech sont actuellement protégés par un WAF. Toutefois, 35 % des sous-domaines dits abandonnés, et pourtant actifs, ne sont pas équipés de pare-feu. Par ailleurs, aucun site de e-banking parmi l’échantillon observé ne comportait de failles de sécurité SSL/TLS considérées comme graves.
Ces problèmes concernent, en revanche, 8 % des grands établissements bancaires étudiés dans le rapport. Le PDG d’ImmuniWeb, Ilia Kolochenko, a tenu à féliciter la nouvelle génération de banques pour ses performances. Néanmoins, il reste encore de nombreuses lacunes à rattraper dans le secteur. Selon le fondateur de l’entreprise :
« Les chiffres de l’étude soulignent de manière positive un niveau décent de cybersécurité parmi les entreprises Fintech, mettant en évidence leur engagement et leur attention ».
Ilia Kolochenko.
Continuant sur sa lancée, ImmuniWeb a élargi son champ d’études et a audité les systèmes informatiques des jeunes Fintech de premier plan figurant dans une liste publiée par CB Insights. Cette fois-ci, les performances de ces start-up ne se démarquent pas réellement des grandes banques.
En effet, toutes affichent des failles en matière de sécurité et de confidentialité. Elles présentent également des problèmes de conformité dus à des applications web, à l’API ou à des sous-domaines abandonnés ou négligés. Par ailleurs, 62 % d’entre elles n’ont pas réussi les tests de conformité PCI-DSS.
Enfin, selon cette étude, toutes les applications mobiles utilisées dans le secteur renferment au moins une vulnérabilité de niveau moyen, tandis que 97 % de ces outils en contiennent au moins deux, avec un risque allant de moyen à élevé.
Je compare les offres bancaires
Un problème d’open source assez courant dans les entreprises
Sur un comparateur banque en ligne, les consommateurs s’attardent généralement sur les points qui les préoccupent le plus, comme la tarification ou les prestations proposées. Les questions de sécurité commencent également à attirer l’attention des utilisateurs des services de e-banking. Ainsi, la dernière étude d’ImmuniWeb inquiète les clients.
Le plus souvent, l’origine de la faille mise en cause est celle qui concerne aujourd’hui presque toutes les entreprises, comme l’a souligné Synopsys dans son rapport OSSRA 2019. Il s’agit du manque de rigueur dans la correction des codes open source. D’ailleurs, de nombreux sites et services sont actuellement exposés à cause de ce problème. Selon Synopsys, 60 % des cas analysés présentent au moins une vulnérabilité due à un code open source.
Cette tendance des entreprises est encore une fois confirmée par la dernière étude d’ImmuniWeb. Par exemple, l’un des sites des start-up étudiées renferme une vulnérabilité XSS de jQuery 1.7.2 qui date de 2012. Par ailleurs, plusieurs sites dans le secteur se servent encore d’une bibliothèque open source obsolète. Logiquement, ils ont tous échoué au test de conformité PCI-DSS.
D’autre part, les Fintech ne sont pas protégées contre de nombreux types de menaces comme les attaques au référencement ou au phishing. D’après ImmuniWeb, 90 % de ces start-up sont actuellement victimes de cybersquatting. Cette technique consiste à déposer des noms de domaine renvoyant à une marque pour lui extorquer de l’argent ou arnaquer les utilisateurs.
Enfin, 86 % des Fintech étudiées ont été victimes de cybercriminels recourant au typosquatting. Cette méthode consiste à déposer des noms de domaine très proches du nom de l’entreprise, à quelques détails près. Ils contiennent généralement des fautes de frappe assez courantes afin de tromper les internautes. Ces derniers seront alors redirigés vers des pages web infectées ou des sites de phishing.