Sécurité : des applications bancaires trop souvent vulnérables

La sécurité et la conformité applicatives des 100 plus grandes banques mondiales laissent à désirer, selon une étude divulguée par ImmuniWeb (High-Tech Bridge).

La plateforme suisse de tests a étudié les applications web externes, API et applis mobiles des plus grandes institutions financières mondiales figurant dans la liste S&P Global.

La plupart de ces programmes renferment des vulnérabilités.

En témoignent les points clés à retenir de l'étude :

Trop d'applications web « obsolètes et vulnérables »

- 85 applications web d'e-banking (banque en ligne) ont échoué au test de conformité au RGPD (Règlement général sur la protection des données) ;

- 49 ne sont pas en conformité avec la norme de sécurité de l'industrie des cartes de paiement PCI DSS (Payment Card Industry Data Security Standard) ;

- 25 ne sont pas protégées par un parefeu d'applications web ou WAF (Web Application Firewall). Un parefeu qui protège le serveur d'applications web à travers l'analyse des paquets de requête HTTP /HTTPS et des modèles de trafic.

- 7 applications web d'e-banking (banque en ligne) intègrent des vulnérabilités connues et exploitables ;

- La plus ancienne vulnérabilité non corrigée est connue et divulguée depuis 2011 ;

- Toutes les banques du top 100 ont des problèmes liés à des sous-domaines oubliés.

97 des banques du top 100 peuvent mieux faire

Seuls 3 sites web officiels de banques sur 100 affichaient la note la plus élevée « A+ » pour le chiffrement SSL et la sécurité des sites web :

- credit-suisse.com (Suisse)
- danskebank.com (Danemark)
- handelsbanken.se (Suède)

Pour ces sites, « aucun problème [de sécurité] ou de configuration » n'a été identifié.

20% des applis bancaires mobiles contiennent des failles critiques

- Toutes les applications bancaires mobiles contiennent au moins une vulnérabilité de sécurité à faible risque ;

- 92% contiennent au moins une vulnérabilité de sécurité à risque moyen ;

- 20% abritent au moins une faille de sécurité à haut risque.

La tendance se vérifie dans d'autres secteurs, dont celui du transport aérien.

_{(crédit photo de une © i3d - shutterstock)}