Free cookie consent management tool by TermsFeed

vendredi 5 mai 2023

15 ans de banque mobile… mal sécurisée

Which?
Presque quinze ans après la naissance de la banque mobile pour tous et alors qu'elle est entrée dans le quotidien de la quasi totalité de la population, l'association britannique de défense des consommateurs Which? relève toujours des lacunes de sécurité criantes et dramatiques dans les applications distribuées par les plus grandes institutions.

Comme si les menaces de hameçonnage (entre autres techniques de fraude à distance) et les risques d'intrusion dans les systèmes des banques ne suffisaient pas à mettre en danger l'argent déposé dans les institutions financières par les particuliers et les entreprises, il s'avère que le vol de téléphone expose également leur propriétaire à des pertes, dans lesquelles des choix malheureux (et consternants) de conception, d'architecture et d'implémentation du logiciel jouent souvent un rôle majeur.

Bien entendu, la première défaillance est celle de l'individu qui ne surveille pas suffisamment son appareil et qui saisit son code de déverrouillage sans prendre garde à la personne qui l'observe par-dessus son épaule. Mais une fois le précieux objet dérobé et le malfaiteur entré dans l'outil de la banque, les protections qui devraient en principe permettre de limiter les dégâts, dont, en priorité, les transferts de fonds délictueux, se révèlent totalement inopérantes, comme si elles étaient conçues pour un autre univers.

Les exemples les plus flagrants cités par Which? comprennent des procédures de réinitialisation de mot de passe ou d'ajout de bénéficiaire de virement dont la validation s'effectue par la fourniture du numéro de carte de paiement – bien évidemment accessible dans l'application elle-même – et/ou par l'intermédiaire d'un code de sécurité envoyé par SMS et/ou par courriel – que celui qui s'est emparé du téléphone n'a assurément aucune difficulté à récupérer. Et passons sur les alertes aussi envoyées par SMS !

Which? – Weak Banking Security Measures

Dans les banques coupables de ces manquements et qui, pourtant, se prétendent fréquemment « mobiles d'abord » (ou « mobile first », en anglais), les équipes en charge de la lutte contre la fraude semblent bloquées sur les mécanismes imaginés initialement pour les services sur le web, donnant l'impression qu'elles n'ont pas pris conscience de l'existence – et encore moins de la prédominance, aujourd'hui – des applications pour smartphone. Hélas, les criminels savent parfaitement exploiter leur négligence.

Comme je le répète depuis des années (et la prolifération des mots de passe à usage unique par SMS), le recours à des moyens de contrôle utilisant le même canal que celui du système protégé est tellement aberrant que les responsables de ces bévues devraient être sévèrement sanctionnés. Qu'il existe encore de tels cas en 2023, quand la majorité des clients des banques interagissent avec celles-ci via leur téléphone, particulièrement vulnérable aux vols, justifierait d'en faire l'objet d'une réglementation spécifique.

Aucun commentaire:

Enregistrer un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)