Sécurité : des applications bancaires trop souvent vulnérables

Ariane Beky,

Les applications web et mobiles de 97 des 100 plus grandes banques mondiales intègrent des vulnérabilités exploitables par des pirates.

La sécurité et la conformité applicatives des 100 plus grandes banques mondiales laissent à désirer, selon une étude divulguée par ImmuniWeb (High-Tech Bridge).

La plateforme suisse de tests a étudié les applications web externes, API et applis mobiles des plus grandes institutions financières mondiales figurant dans la liste S&P Global.

Les actifs externes et applications [ci-dessus] ont été testés

La plupart de ces programmes renferment des vulnérabilités.

En témoignent les points clés à retenir de l’étude :

Trop d’applications web « obsolètes et vulnérables »

– 85 applications web d’e-banking (banque en ligne) ont échoué au test de conformité au RGPD (Règlement général sur la protection des données) ;

– 49 ne sont pas en conformité avec la norme de sécurité de l’industrie des cartes de paiement PCI DSS (Payment Card Industry Data Security Standard) ;

– 25 ne sont pas protégées par un parefeu d’applications web ou WAF (Web Application Firewall). Un parefeu qui protège le serveur d’applications web à travers l’analyse des paquets de requête HTTP /HTTPS et des modèles de trafic.

Notes de sécurité web pour l’e-banking

– 7 applications web d’e-banking (banque en ligne) intègrent des vulnérabilités connues et exploitables ;

– La plus ancienne vulnérabilité non corrigée est connue et divulguée depuis 2011 ;

– Toutes les banques du top 100 ont des problèmes liés à des sous-domaines oubliés.

Notes de sécurité web pour les sous-domaines

97 des banques du top 100 peuvent mieux faire

Seuls 3 sites web officiels de banques sur 100 affichaient la note la plus élevée « A+ » pour le chiffrement SSL et la sécurité des sites web :

– credit-suisse.com (Suisse)
– danskebank.com (Danemark)
– handelsbanken.se (Suède)

Pour ces sites, « aucun problème [de sécurité] ou de configuration » n’a été identifié.

Notes de sécurité des principaux sites web de banques

20% des applis bancaires mobiles contiennent des failles critiques

– Toutes les applications bancaires mobiles contiennent au moins une vulnérabilité de sécurité à faible risque ;

– 92% contiennent au moins une vulnérabilité de sécurité à risque moyen ;

– 20% abritent au moins une faille de sécurité à haut risque.

La tendance se vérifie dans d’autres secteurs, dont celui du transport aérien.

(crédit photo de une © i3d – shutterstock)