La société viaForensics, spécialiste de la sécurité informatique, a évalué la vulnérabilité des applications pour iPhone et Android de 6 grandes banques américaines (Bank Of America, Chase, TD Ameritrade, USAA, Wells Fargo and Vanguard) et les résultats sont très instructifs puisqu'une seule (Vanguard) a passé les tests avec succès.
Les failles détectées, dont la plupart ne sont pas critiques, concernent toutes le stockage d'informations sur le téléphone, qui pourraient donc être lues et utilisées par toute personne s'emparant du mobile. Dans les cas les moins sensibles, les données enregistrées sont le code utilisateur ou la réponse à une question complémentaire de sécurité, qui ne permettraient pas à un individu malveillant d'accéder au compte de l'utilisateur, ou encore des "images" des pages visitées qui révèlent des informations financières sur le propriétaire du téléphone. Beaucoup plus grave, l'application Android de Wells Fargo enregistre en clair le code d'accès et le mot de passe de l'utilisateur !
Naturellement, et c'est une bonne nouvelle, les banques concernées prennent ces alertes au sérieux et elles ont toutes déjà publié une nouvelle version de leurs applications ou sont en passe de le faire.
Même si les risques identifiés ne sont pas tous élevés, ces révélations démontrent un certain laissez-aller de la part des institutions financières et devraient encourager toutes les banques (françaises, entre autres) à contrôler la sécurité de leurs applications mobiles, surtout si celle-ci n'a pas été intégrée dès la conception, comme il se doit.
Selon moi, cette "légereté" est due à deux facteurs principaux : l'urgence et le manque de maturité. Les applications de banque mobile sont souvent réalisées dans la précipitation et les précautions élémentaires de sécurité sont ainsi oubliées ou négligées. Plus insidieuse, la seconde raison est la rareté des compétences "seniors" en développement sur mobile, qui conduit à confier la création des applications à des équipes (parfois des agences marketing !) qui n'ont pas l'expérience nécessaire pour maîtriser toutes les contraintes, de sécurité mais aussi de robustesse ou autres, qui pèsent sur des systèmes sensibles.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)