Les nouveaux venus de la fintech et les perturbateurs sont en train de réimaginer l'espace des services financiers traditionnels. Mais ces startups doivent répondre aux mêmes problèmes de sécurité que ceux auxquels sont confrontés les opérateurs historiques si elles veulent avoir un impact significatif. Dans le secteur financier, la sécurité fait vendre. La sécurité des applications n'est plus une discussion entre les équipes informatiques et les développeurs - c'est un sujet clé dans les salles de conseil d'administration et un élément majeur de la stratégie de croissance d'une institution financière. 

Selon l'enquête américaine de CSO sur l'état de la cybercriminalité, 58 % des entreprises déclarent que leurs principaux responsables de la sécurité informent leur conseil d'administration sur les questions cybernétiques au moins une fois par trimestre. Le nombre d'entreprises qui ne tiennent pas leur conseil d'administration au courant des questions de sécurité a diminué, passant de 29 % en 2017 à 19 % en 2018.  

Alors que les applications de gestion de patrimoine, les technologies de paiement, les services bancaires mobiles, les prêts et les plateformes de crowdfunding font leur apparition, la sécurité est mise sur le devant de la scène, à juste titre.  

Quelles sont les préoccupations en matière de sécurité que les entreprises fintech doivent prendre en compte lorsqu'elles développent leurs applications ? Comment peuvent-elles assurer la sécurité du flux de travail lorsqu'elles doivent permettre le partage de données entre plusieurs parties prenantes tout en gérant l'accès des clients à un ensemble diversifié de services ? 

L'intersection des revenus, de la réputation et de la gestion des risques

Femme effectuant un achat en ligne avec son téléphone

Chaque application Fintech est unique. Elle a souvent sa propre personnalité et une approche différente de la fourniture de services financiers. Même si elles se ressemblent superficiellement, elles sont construites selon une architecture différente. Ce qui les relie toutes, cependant, c'est qu'elles traitent des informations personnelles et financières sensibles. Si elles n'utilisaient pas les données de chaque client, quelle serait la valeur de ces applications ? 

Ce flux de données personnelles et financières doit être traité de manière hautement sécurisée. Il y a des considérations de conformité en vertu des réglementations financières et des lois sur la protection de la vie privée. Plus important encore peut-être, les entreprises fintech doivent tenir compte du fait que la confiance des clients - la pierre angulaire de leur activité - peut être rapidement détruite par une violation de données.

La sécurisation des flux de données peut s'avérer complexe lorsqu'il s'agit d'applications fintech. Même un simple exercice informel de cartographie des flux de données révélera rapidement que des données sensibles quittent le nuage sécurisé pour entrer dans un écosystème sur lequel la fintech n'a aucun contrôle. 

Ces données sont susceptibles d'être touchées par une série d'acteurs, notamment : 

  • L'appareil mobile
  • Le système d'exploitation mobile
  • Les boutiques d'applications et les services de messagerie associés
  • Logiciel tiers installé sur l'appareil mobile
  • Points d'accès WiFi ouverts
  • Et bien d'autres encore


Le partage des données entre toutes les parties concernées doit être invisible et sans friction pour l'utilisateur final afin d'offrir une expérience optimale dans l'application. Cependant, l'ensemble du flux de données doit être sécurisé afin d'assurer la conformité, de protéger les revenus et de maintenir la confiance des consommateurs.  

La sécurité ne se limite pas au cryptage du canal. Elle implique l'authentification des points d'extrémité (protection contre les attaques de type "Man-in-the-middle") et la garantie que ces points d'extrémité ne peuvent pas être compromis (protection contre les attaques de type "Man-in-the-device"). 

La sécurité doit être une priorité à chaque étape du flux de travail, en particulier dans les cas où des privilèges accrus peuvent être utilisés abusivement, lorsque les API communiquent avec le backend, ou lors de l'utilisation de SDK tiers.  

Privilèges renforcés

L'une des façons les plus courantes d'attaquer les applications Android consiste à trouver des vulnérabilités qui permettent d'élever les privilèges. Dans les systèmes d'exploitation basés sur Unix, le plus haut privilège de l'utilisateur est d'avoir un "accès racine". Dans le cas d'iOS, cet accès est obtenu en "jailbreakant" l'appareil. 

Pour créer des applications fintech sûres et sécurisées, les développeurs doivent devancer les pirates qui tentent de tirer parti de l'escalade des privilèges. Cela signifie qu'ils doivent sécuriser leurs applications en adoptant une approche proactive et en dépassant les risques inhérents aux bacs à sable des systèmes d'exploitation pour assurer leur protection. 

Une fois jailbreaké ou rooté avec succès, un téléphone devient un environnement plus risqué, permettant à un pirate d'exploiter plus facilement les faiblesses et les défauts de conception, tels que les numéros de carte de crédit stockés sans être cryptés, les codes PIN faibles et les jetons vulnérables. 

Même sans escalade des privilèges, il est facile d'altérer le code source et de le reconditionner avec des logiciels malveillants. Les logiciels malveillants sont souvent utilisés pour détourner des informations sensibles, notamment : 

  • Clés cryptographiques
  • Informations d'identification sensibles et informations personnelles telles que les numéros de carte de crédit et les adresses électroniques
  • Informations exclusives sur votre code source

Communications

Les appareils clients sont un vecteur d'attaque vulnérable car ils communiquent avec des serveurs dorsaux, ce qui peut exposer l'ensemble de vos opérations à des attaques de type "man-in-the-middle". La protection de la communication entre les appareils clients est essentielle pour sauvegarder des données précieuses. 

Les attaques de l'homme du milieu se produisent lorsque des pirates s'insèrent au milieu de la communication (par exemple, en compromettant un point d'accès WiFi, un pirate peut se placer au milieu de la communication sans être détecté). Avec ces attaques, le client pense qu'il interagit directement avec le composant/service prévu, mais le pirate "au milieu" écoute ou modifie les informations à son avantage. 

Pour une application Fintech typique, le chiffrement des communications est une combinaison de la norme industrielle Transport Layer Security (TLS) et de la sécurité de la couche d'application sur mesure. En analysant l'application, un pirate peut désosser le protocole et trouver les clés cryptographiques utilisées pour le sécuriser. Le protocole de communication est fondamental pour tout MFS. Si un pirate comprend le fonctionnement du protocole de communication, il peut découvrir et exploiter ses vulnérabilités. 

Composants tiers

De nombreux développeurs utilisent un SDK tiers pour accéder aux différentes fonctions et opérations nécessaires à leur application, plutôt que de reconstruire les fonctionnalités existantes. L'appel à une bibliothèque permet de gagner beaucoup de temps, mais ajoute également une vulnérabilité. 
 
Étant donné qu'une bibliothèque fait partie intégrante d'une application et qu'elle est très normalisée sur un grand nombre d'appareils, les bibliothèques sont des cibles attrayantes pour les cybercriminels qui veulent créer des logiciels malveillants pouvant être utilisés dans des attaques à grande échelle. 

Vos applications fintech présentent-elles des vulnérabilités ? 

De nombreuses fintechs retardent la mise en œuvre de la sécurité des applications, pensant qu'elle sera trop difficile ou trop coûteuse. Cependant, si vous choisissez le bon partenaire de sécurité, la réalité ne pourrait pas être plus éloignée de la vérité.En fait, le rapport annuel sur la sécurité de Cisco a révélé que 53 % des personnes interrogées externalisent les services de sécurité parce que c'est plus rentable que de développer des technologies en interne (et c'est beaucoup plus rentable que de contourner complètement la sécurité et d'en subir les répercussions astronomiques). 

Les applications fintech posent souvent des problèmes de sécurité : 

  • Pratiques de codage non sécurisées
  • API exposées ou mal configurées
  • Données personnelles exposées
  • Validation évolutive des données d'identification

En réalité, la complexité des applications mobiles fait qu'il s'agit toujours d'une vulnérabilité garantie. Il n'est pas pratique, voire impossible, de traquer et de fermer chacune d'entre elles. Même si vous y parveniez, l'application resterait vulnérable à la rétro-ingénierie et au clonage. 
 
Verimatrix recommande plutôt aux fintechs d'adopter une approche pratique et proactive pour protéger leurs applications. Cela ne remplace pas les bonnes pratiques de codage, mais cela signifie que l'intégrité de votre application sera maintenue, en gardant secrètes les vulnérabilités garanties ainsi que les données sensibles.
 
Les solutions Verimatrix ont été éprouvées par d'innombrables tests de sécurité en laboratoire et déployées dans des centaines de millions d'applications. C'est la raison pour laquelle certaines des plus grandes institutions financières et réseaux de paiement au monde nous font confiance.