L’authentification forte a ses faiblesses dans l’univers FinTech
En prenant l’exemple des banques mobiles, des chercheurs pointent du doigt la vulnérabilité des systèmes d’authentification forte basés sur un seul appareil.
Des puces mémoire Samsung, des commutateurs Cisco, des robots aspirateurs Xiaomi… Autant d’équipements dont la vulnérabilité a été démontrée mercredi pour la première journée du Chaos Communication Congress.
La 34e édition de cet événement annuel qui réunit des hackers venus de toute l’Europe se déroule jusqu’au 30 décembre à Leipzig.
Intervenu l’an dernier pour évoquer de multiples failles détectées dans les services de la néobanque N26, Vincent Haupert était à nouveau de la partie.
Le doctorant en informatique à l’université Friedrich-Alexander d’Erlangen-Nuremberg est resté dans le même registre, en mettant en avant la fragilité des dispositifs d’authentification forte basés sur un seul appareil.
Avec son collègue Nicolas Schneider, il avait émis une première alerte fin novembre, expliquant être parvenu à manipuler des transactions sur une trentaine d’applications de services financiers, éditées essentiellement par des institutions allemandes (CommerzBank, RaiffeisenBank, Sparkasse…).
Point commun entre ces applications : elles sont protégées par la solution SHIELD de l’entreprise norvégienne Promon.
D’autres fournisseurs dont le français Gemalto proposent ce type de solutions destinées, entre autres, à apporter une couche de sécurité supplémentaire aux mécanismes d’authentification – et qui procurent plus globalement des garanties contre les tentatives de débogage, d’interception de commandes ou encore de root.
Bibliothèque ouverte
Chez Promon, ces fonctions sont mises en œuvre au travers de la bibliothèque libshield.so, à laquelle certains éléments de l’application sont intégrés pour être ensuite appelés, lors de l’exécution, par un système de références.
Vincent Haupert et Nicolas Schneider ont choisi de travailler sur l’application de banque mobile Yomo, suffisamment jeune pour fonctionner avec une version récente de SHIELD.
Ils ont développé leur propre app, baptisée Nomorp et capable, en exploitant le système de références, de désactiver automatiquement, voire d’éliminer, les mesures de protection, y compris l’épinglage de certificats et le chiffrement de données sensibles.
Dite fonctionnelle sur tous les appareils en « cinq à dix minutes », la technique leur a permis de « déplomber » des applications et, à partir de là, d’en créer des copies malveillantes, de modifier des numéros de compte, d’envoyer des codes d’authentification vers d’autres appareils, etc.
Les banques interrogées par les chercheurs ont souligné que moins de 10 % de leurs clients utilisaient le dispositif en question, lui préférant notamment la saisie d’un code reçu par SMS.
À en croire le Süddeutsche Zeitung, certains dépeignent autrement la réalité. Illustration avec l’association Bitkom, qui fédère des entreprises de l’économie numérique (dont les trois quarts installées en Allemagne) et qui estime que 30 % des utilisateurs de services bancaires s’y authentifient par le biais d’un terminal mobile.