Les changements induits par l’introduction de l’Open Banking pourraient ouvrir la voie à de nouvelles attaques à l’encontre des entreprises et des particuliers. C’est ce qui ressort d’une enquête menée par la société Trend Micro. L’enquête démontre que les nouvelles directives bancaires entrées en vigueur au sein de l’Union Européenne pourraient considérablement élargir la surface d’attaque des entreprises de services financiers ainsi que leurs clients.

Cette nouvelle étude détaille l’impact de la nouvelle Directive Européenne sur les services de paiement (DSP2), dont l’objectif est de permettre aux utilisateurs de contrôler davantage leurs données financières, tout en leur permettant de les partager avec une nouvelle génération d’entreprises innovantes en matière de technologie financière (FinTech). Un phénomène qui se développe également à l’échelle mondiale sous le nom d’« Open Banking ».

« Le secteur financier a toujours été une cible très attrayante pour les cybercriminels. Mais la DSP2 et l’Open Banking vont offrir aux hackers encore plus de possibilités pour subtiliser des informations personnelles et financières sensibles », souligne Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « Nous craignons que le secteur ne soit pas entièrement prêt à faire face à l’extension considérable de la surface d’attaque. C’est pourquoi nous voulions évaluer les risques avant qu’ils ne se concrétisent, de façon à pouvoir accompagner efficacement les entreprises de la FinTech et les prêteurs traditionnels dans la protection de leurs ressources. »

Le rapport met en évidence plusieurs scénarios d’attaque possibles dans le cadre du nouveau régime réglementaire :

Les attaques contre les API, par exemple : les API publiques sont au cœur de l’Open Banking, et permettent à des tiers agréés d’accéder aux données bancaires des utilisateurs pour proposer de nouveaux services financiers innovants. Les failles de mise en œuvre de ces API permettront aux pirates d’exploiter les serveurs de back-office pour dérober des données.

 Les Attaques contre les entreprises de la FinTech : les utilisateurs seront contraints d’établir une nouvelle relation de confiance avec des prestataires ne disposant pas nécessairement les mêmes garanties en matière de protection des données ni autant de ressources que leurs banques. Lors d’une brève enquête auprès des entreprises de la FinTech intervenant dans le domaine de l’Open Banking, Trend Micro a constaté que ces dernières comprennent 20 salariés en moyenne, mais aucun professionnel dédié à la sécurité. Elles constituent donc des cibles idéales pour les hackers, qui peuvent profiter des éventuelles failles de sécurité de leurs applications mobiles, API, techniques de partage de données et modules de sécurité, en cas de mise en œuvre incorrecte.

 Les attaques contre les applications et plates-formes mobiles : la plupart des services d’Open Banking seront déployés sous forme d’applications mobiles, une cible de choix pour les attaquants. En mettant la main sur le nom de l’utilisateur, son mot de passe ou les clés de chiffrement dans l’application, un hacker peut récupérer des données bancaires et usurper une identité. Même si les applications ne permettent pas d’effectuer des paiements, elles peuvent contenir des données relatives à des transactions. Un hacker peut ainsi établir un profil très précis de ses victimes.

 Enfin, les attaques contre l’utilisateur : les nouvelles applications d’Open Banking s’apprêtant à devenir le principal moyen pour les utilisateurs d’accéder aux données et aux services financiers, les attaques de phishing pourraient devenir très fructueuses pour les pirates.

Du reste, ce rapport apporte par ailleurs un éclairage sur la façon dont les établissements financiers peuvent renforcer leur cyber-résilience pour se préparer à l’évolution de leur environnement, notamment en s’assurant que les URL ne contiennent jamais d’informations sensibles, en privilégiant les protocoles sécurisés et en éliminant les pratiques à risque. Les développeurs et propriétaires d’applications d’Open Banking doivent adopter simultanément une approche sécurisée dès le stade de la conception. Avec notamment des audits logiciels réguliers.

Emmanuel Mayega
A propos de l'auteur

Directeur de la rédaction et de la publication du magazine Assurance & Banque 2.0 et de ce site, Emmanuel a une connaissance accrue de l’intégration des technologies dans l’assurance, la banque et la santé. Ancien rédacteur en chef de ce magazine, il a pendant plus d'une décennie été rédacteur en chef adjoint d’Assurance & Informatique Magazine. ll est un observateur affûté du secteur. Critique, il se définit comme esprit indépendant et provocateur, s’il le faut.

Site web : http://www.assurbanque20.fr

Twitter LinkedIn Google+

Newsletter

Vous n'avez pas le temps suivre l'actualité ? Découvrez nos newsletters gratuites, quotidiennes ou hebdomadaires.

Inscription Newsletter


Le Mensuel

Chaque mois, un regard éclairé et sans concession sur l'actualité de l'Assurance, de la Banque et des Services Financiers.

Découvrir le magazine