La sécurité des apps bancaires en question

Publié le 10 février 2014 par Patriceb @cestpasmonidee
En quelques années, le mobile a envahi notre quotidien et, comme une multitude d'autres services, la banque s'est installée sur nos smartphones. Mais les applications que nous utilisons désormais régulièrement pour gérer nos comptes sont-elles bien sécurisées ? Deux études récentes incitent au doute…
L'une émane de la société Praetorian, dont les experts ont examiné 275 applications (pour iPhone et Android) publiées par 150 institutions financières (américaines, a priori). La seconde est à mettre à l'actif d'un collaborateur d'IOActive (autre spécialiste de la sécurité) et concerne 40 titres (pour iPhone) produits par les plus grandes banques mondiales (y compris quelques françaises). Point commun des deux enquêtes : elles ont été réalisées sans souci d'exhaustivité et se sont au contraire limitées à une analyse de défauts plus ou moins élémentaires.
Leurs conclusions convergent et sont loin d'être rassurantes, même si les (nombreuses) « anomalies » identifiées ne sont pas nécessairement critiques. Ainsi, dans le cas de Praetorian, dont les recherches se sont focalisées sur les configurations des logiciels (telles qu'elles sont définies sur les plates-formes de développement), 8 applications testées sur 10 ne s'avèrent pas conformes aux bonnes pratiques en vigueur, facilitant de fait la tâche des cybercriminels (sans toutefois créer de véritables failles de sécurité).
De son côté, l'expert d'IOActive, qui n'a pourtant passé que 40 heures au total sur le sujet (1 heure par application !), livre des découvertes plus précises avec, par exemple, l'accès en clair à des informations sensibles et une susceptibilité (vérifiée) à des attaques classiques. A titre d'illustration, une des applications contrôlées permet de détourner une partie du contenu web présenté à l'écran, ce qui est mis à profit dans cette petite démonstration pour demander à l'utilisateur de confirmer ses codes de connexion et les transmettre à un site malveillant :

Répétons-le encore une fois, les défauts repérés par ces chercheurs ne suffisent pas seuls à introduire un risque majeur pour les utilisateurs des applications évaluées (et leurs comptes bancaires). Et, côté positif de ces résultats, ils démontrent des progrès notables par rapport aux graves erreurs de jeunesse qui ressortaient des études analogues menées il y a quelques années (voir ici ou ). Néanmoins, ils mettent en évidence une inquiétante négligence de certaines institutions financières en matière de sécurité.
Les raisons de cette triste réalité sont multiples. Parmi elles, la coupable la plus facile à désigner est l'exigence permanente de vitesse et de réactivité, qui impose de délivrer rapidement de nouvelles versions des applications. Mais il faut aussi évoquer les approximations des méthodes de développement logiciel, qui oublient souvent d'intégrer la sécurité dès l'origine et sur toute la durée des projets (surtout dans les démarches agiles) et négligent la formation des équipes (tous les développeurs devraient maîtriser les bases fondamentales de la sécurité).