Voici les risques de sécurité liés à la nouvelle réglementation européenne en matière d’Open Banking

0
Les nouvelles directives bancaires entrées en vigueur au sein de l’Union Européenne pourraient considérablement élargir la surface d’attaque des entreprises de services financiers ainsi que leurs clients. Ainsi le démontre Trend Micro dans une nouvelle étude sur l’impact de la nouvelle Directive Européenne sur les services de paiement (DSP2), dont l’objectif est de permettre aux utilisateurs de contrôler davantage leurs données financières, tout en leur permettant de les partager avec une nouvelle génération d’entreprises innovantes en matière de technologie financière (FinTech). Un phénomène qui se développe également à l’échelle mondiale sous le nom d’« Open Banking ».

« Le secteur financier a toujours été une cible très attrayante pour les cybercriminels. Mais la DSP2 et l’Open Banking vont offrir aux hackers encore plus de possibilités pour subtiliser des informations personnelles et financières sensibles », souligne Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « Nous craignons que le secteur ne soit pas entièrement prêt à faire face à l’extension considérable de la surface d’attaque. C’est pourquoi nous voulions évaluer les risques avant qu’ils ne se concrétisent, de façon à pouvoir accompagner efficacement les entreprises de la FinTech et les prêteurs traditionnels dans la protection de leurs ressources. »

Le rapport met en évidence plusieurs scénarios d’attaque possibles dans le cadre du nouveau régime réglementaire :

  • Attaques contre les API : les API publiques sont au cœur de l’Open Banking, et permettent à des tiers agréés d’accéder aux données bancaires des utilisateurs pour proposer de nouveaux services financiers innovants. Les failles de mise en œuvre de ces API permettront aux pirates d’exploiter les serveurs de back-office pour dérober des données.
  • Attaques contre les entreprises de la FinTech : les utilisateurs seront contraints d’établir une nouvelle relation de confiance avec des prestataires ne disposant pas nécessairement les mêmes garanties en matière de protection des données ni autant de ressources que leurs banques. Lors d’une brève enquête auprès des entreprises de la FinTech intervenant dans le domaine de l’Open Banking, Trend Micro a constaté que ces dernières comprennent 20 salariés en moyenne, mais aucun professionnel dédié à la sécurité. Elles constituent donc des cibles idéales pour les hackers, qui peuvent profiter des éventuelles failles de sécurité de leurs applications mobiles, API, techniques de partage de données et modules de sécurité, en cas de mise en œuvre incorrecte.
  • Attaques contre les applications et plateformes mobiles : la plupart des services d’Open Banking seront déployés sous forme d’applications mobiles, une cible de choix pour les attaquants. En mettant la main sur le nom de l’utilisateur, son mot de passe ou les clés de chiffrement dans l’application, un hacker peut récupérer des données bancaires et usurper une identité. Même si les applications ne permettent pas d’effectuer des paiements, elles peuvent contenir des données relatives à des transactions. Un hacker peut ainsi établir un profil très précis de ses victimes.
  • Attaques contre l’utilisateur : les nouvelles applications d’Open Banking s’apprêtant à devenir le principal moyen pour les utilisateurs d’accéder aux données et aux services financiers, les attaques de phishing pourraient devenir très fructueuses pour les pirates.

Le rapport apporte par ailleurs un éclairage sur la façon dont les établissements financiers peuvent renforcer leur cyber-résilience pour se préparer à l’évolution de leur environnement, notamment en s’assurant que les URL ne contiennent jamais d’informations sensibles, en privilégiant les protocoles sécurisés et en éliminant les pratiques à risque.Les développeurs et propriétaires d’applications d’Open Banking doivent adopter simultanément une approche sécurisée dès le stade de la conception, avec notamment des audits logiciels réguliers.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply