Pour gérer vos consentements :

L’authentification forte a ses faiblesses dans l’univers FinTech

Des puces mémoire Samsung, des commutateurs Cisco, des robots aspirateurs Xiaomi… Autant d’équipements dont la vulnérabilité a été démontrée mercredi pour la première journée du Chaos Communication Congress.

La 34e édition de cet événement annuel qui réunit des hackers venus de toute l’Europe se déroule jusqu’au 30 décembre à Leipzig.

Intervenu l’an dernier pour évoquer de multiples failles détectées dans les services de la néobanque N26, Vincent Haupert était à nouveau de la partie.

Le doctorant en informatique à l’université Friedrich-Alexander d’Erlangen-Nuremberg est resté dans le même registre, en mettant en avant la fragilité des dispositifs d’authentification forte basés sur un seul appareil.

Avec son collègue Nicolas Schneider, il avait émis une première alerte fin novembre, expliquant être parvenu à manipuler des transactions sur une trentaine d’applications de services financiers, éditées essentiellement par des institutions allemandes (CommerzBank, RaiffeisenBank, Sparkasse…).

Point commun entre ces applications : elles sont protégées par la solution SHIELD de l’entreprise norvégienne Promon.

D’autres fournisseurs dont le français Gemalto proposent ce type de solutions destinées, entre autres, à apporter une couche de sécurité supplémentaire aux mécanismes d’authentification – et qui procurent plus globalement des garanties contre les tentatives de débogage, d’interception de commandes ou encore de root.

Bibliothèque ouverte

Chez Promon, ces fonctions sont mises en œuvre au travers de la bibliothèque libshield.so, à laquelle certains éléments de l’application sont intégrés pour être ensuite appelés, lors de l’exécution, par un système de références.

Vincent Haupert et Nicolas Schneider ont choisi de travailler sur l’application de banque mobile Yomo, suffisamment jeune pour fonctionner avec une version récente de SHIELD.

Ils ont développé leur propre app, baptisée Nomorp et capable, en exploitant le système de références, de désactiver automatiquement, voire d’éliminer, les mesures de protection, y compris l’épinglage de certificats et le chiffrement de données sensibles.

Dite fonctionnelle sur tous les appareils en « cinq à dix minutes », la technique leur a permis de « déplomber » des applications et, à partir de là, d’en créer des copies malveillantes, de modifier des numéros de compte, d’envoyer des codes d’authentification vers d’autres appareils, etc.

Les banques interrogées par les chercheurs ont souligné que moins de 10 % de leurs clients utilisaient le dispositif en question, lui préférant notamment la saisie d’un code reçu par SMS.

À en croire le Süddeutsche Zeitung, certains dépeignent autrement la réalité. Illustration avec l’association Bitkom, qui fédère des entreprises de l’économie numérique (dont les trois quarts installées en Allemagne) et qui estime que 30 % des utilisateurs de services bancaires s’y authentifient par le biais d’un terminal mobile.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

7 heures ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago