Pour gérer vos consentements :

L’authentification forte a ses faiblesses dans l’univers FinTech

Des puces mémoire Samsung, des commutateurs Cisco, des robots aspirateurs Xiaomi… Autant d’équipements dont la vulnérabilité a été démontrée mercredi pour la première journée du Chaos Communication Congress.

La 34e édition de cet événement annuel qui réunit des hackers venus de toute l’Europe se déroule jusqu’au 30 décembre à Leipzig.

Intervenu l’an dernier pour évoquer de multiples failles détectées dans les services de la néobanque N26, Vincent Haupert était à nouveau de la partie.

Le doctorant en informatique à l’université Friedrich-Alexander d’Erlangen-Nuremberg est resté dans le même registre, en mettant en avant la fragilité des dispositifs d’authentification forte basés sur un seul appareil.

Avec son collègue Nicolas Schneider, il avait émis une première alerte fin novembre, expliquant être parvenu à manipuler des transactions sur une trentaine d’applications de services financiers, éditées essentiellement par des institutions allemandes (CommerzBank, RaiffeisenBank, Sparkasse…).

Point commun entre ces applications : elles sont protégées par la solution SHIELD de l’entreprise norvégienne Promon.

D’autres fournisseurs dont le français Gemalto proposent ce type de solutions destinées, entre autres, à apporter une couche de sécurité supplémentaire aux mécanismes d’authentification – et qui procurent plus globalement des garanties contre les tentatives de débogage, d’interception de commandes ou encore de root.

Bibliothèque ouverte

Chez Promon, ces fonctions sont mises en œuvre au travers de la bibliothèque libshield.so, à laquelle certains éléments de l’application sont intégrés pour être ensuite appelés, lors de l’exécution, par un système de références.

Vincent Haupert et Nicolas Schneider ont choisi de travailler sur l’application de banque mobile Yomo, suffisamment jeune pour fonctionner avec une version récente de SHIELD.

Ils ont développé leur propre app, baptisée Nomorp et capable, en exploitant le système de références, de désactiver automatiquement, voire d’éliminer, les mesures de protection, y compris l’épinglage de certificats et le chiffrement de données sensibles.

Dite fonctionnelle sur tous les appareils en « cinq à dix minutes », la technique leur a permis de « déplomber » des applications et, à partir de là, d’en créer des copies malveillantes, de modifier des numéros de compte, d’envoyer des codes d’authentification vers d’autres appareils, etc.

Les banques interrogées par les chercheurs ont souligné que moins de 10 % de leurs clients utilisaient le dispositif en question, lui préférant notamment la saisie d’un code reçu par SMS.

À en croire le Süddeutsche Zeitung, certains dépeignent autrement la réalité. Illustration avec l’association Bitkom, qui fédère des entreprises de l’économie numérique (dont les trois quarts installées en Allemagne) et qui estime que 30 % des utilisateurs de services bancaires s’y authentifient par le biais d’un terminal mobile.

Recent Posts

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

2 jours ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

6 jours ago

Microsoft Teams : comment fonctionne le double usage « pro-perso »

Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…

2 semaines ago

GenAI : comment choisir une solution « prête à l’emploi »

Les offres d'intelligence artificielle générative (GenAI) "prêtes à l'emploi" sont nombreuses et proposent une variété…

3 semaines ago

Sora : comment fonctionne le nouveau modèle text-to-vidéo

OpenAI, l'inventeur de ChatGPT, lance un nouveau modèle text-to-vidéo qui impressionne par sa qualité. Appelé…

1 mois ago

GenAI : qui peut accéder à Gemini (ex Bard) ?

Google a officialisé le lancement de Gemini, le nouveau nom de son outil de GenAI.…

1 mois ago