Banque en ligne : N26 corrige plusieurs failles de sécurité

N26

Présentées comme des acteurs capables de révolutionner le système bancaire, les « néo-banques » peinent encore à convaincre. Il faut dire qu’il fait plutôt tâche pour une banque en ligne de présenter plusieurs failles de sécurité. Face à ces découvertes, N26 a toutefois décidé de réagir très rapidement.

La Fin Tech trop laxiste en matière de sécurité informatique ?

A l’occasion de la 33ème édition du Chaos Communication Congress (33C3), le chercheur en sécurité Vincent Haupert a jeté un pavé dans la mare en s’en prenant virulemment aux entreprises du secteur de la FinTech.

Selon lui, ces dernières, qui misent pourtant tout sur la « banque mobile », seraient loin d’offrir une sécurité optimale aux données de leurs clients. Ceci semble particulièrement problématique pour des banques en ligne et le chercheur les a donc invité à davantage axer leur travail et leur réflexion sur ce plan plutôt que sur l’esthétique de l’interface proposée aux clients. Pas sûr toutefois que cela change vraiment les choses … à moins bien sûr que toutes les néo-banques fassent preuve de la même réactivité que N26.

N26 enchaîne les corrections des failles de sécurité identifiées

Lors du 33C3, Vincent Haupert avait prouvé ce qu’il avançait en s’appuyant sur le cas de la banque en ligne N26. Cette néo-banque allemande, consciente de ses lacunes, a ainsi rapidement réagi et n’a pas hésité à solliciter le chercheur en sécurité pour parvenir à ses fins.

Parmi les failles identifiées, plusieurs étaient critiques. L’une pouvait être exploitée par une attaque de type « Man In The Middle » et permettait de modifier à distance le destinataire des fonds. Une autre, située dans le processus d’appairage avec le smartphone permettait d’obtenir l’identifiant de la Mastercard liée, celui-là même qui est l’unique donnée nécessaire pour modifier le code PIN.

Vincent Haupert avait aussi simulé des attaques et N26 avait mis plus de 3 semaines à apporter une réponse à pareil incident. Un délai beaucoup trop long.

Si, fort heureusement, aucune de ses failles n’a été « réellement » exploitée par des hackers, N26 s’est montrée prompte à les colmater. Aussi, la banque en ligne peut désormais se vanter d’assurer une parfaite sécurité aux données de ses clients et ce n’est pas tout, la leçon lui a probablement servi.

Elle vient effectivement de lancer il y a quelques jours un programme de bug bounty – copiant ainsi d’autres acteurs du secteur des nouvelles technologies – ce qui tend à démontrer que N26 a compris les enjeux en matière de sécurité informatique.

Rating: 3.0. From 1 vote.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*