N26, fait parti des nouveaux services FinTech baptisés « néo-banques ». ,Une grande campagne de correction de vulnérabilités a été lancée après les révélations du chercheur en sécurité Vincent Haupert lors de la conférence 33C3.
Les « néo-banques » sont censées révolutionner le système bancaire et sont bien souvent entièrement tournés vers un usage mobile. Passons sur les récents soucis d’envergures rencontrés par la start-up Morning (gèle complet des avoirs tout de même !), pour en venir directement à l’annonce de N26 datée du 14 décembre.
Le billet fait état des découvertes faites par le chercheur en sécurité Vincent Haupert, au sujet d’un problème de sécurité. Chose très grave pour une banque en ligne. Le problème a été résolu depuis suite à une bonne réactivité de la société et une étroite collaboration avec le chercheur qui s’est déplacé au siège à Berlin.
Plusieurs informations importantes ont néanmoins été communiquées. On y apprend notamment qu’aucun client n’a été impacté par la faille, qu’aucun compte n’a été mis en danger et qu’il n’y a eu aucun transfert frauduleux d’argent. N26 en a par ailleurs profité pour ouvrir un programme de chasse aux bugs récompensé (bug bounty), une pratique désormais bien connue des entreprises high-tech.
Vincent Haupert participait à la 33ème édition du Chaos Communication Congress (33C3) et intervenait sur la sécurité des banques en ligne (« Shut up and take my money »), avant de basculer sur le cas précis de N26 pour détailler sa découverte. Il a ouvert son intervention par un avertissement sur la sécurité générale de la FinTech (Financial technology), qu’il estime souvent plus intéressée par les belles interfaces à succès que par la protection des données et, dans le cas présent, des sommes placées.
Le chercheur a pu mettre en place une attaque de type « homme du milieu » (MITM) après un détournement de DNS en ciblant le protocole JSON via HTTPS de l’application N26 (sans surcouche de chiffrement) et en arrivant à modifier des éléments clés comme le destinataire des fonds. Plus de possibilités étaient à portée de main avec plus de détails sur la victime ciblée : il fallait dans ce cas commencer par une attaque via phishing.
Haupert en a profité pour tester le niveau de détection automatique de N26 concernant les transactions suspectes. Pour cela, il a procédé à la réalisation de 2 000 transactions d’un centime d’euro sur un laps de temps de 30 minutes. Le résultat a été très décevant étant donné que la banque n’a réagit que 3 semaines après l’attaque simulée et a demandé la fermeture du compte du récipiendaire…
Quant au processus d’appairage avec le smartphone de l’utilisateur, il y avait la aussi une faiblesse : l’identifiant de la Mastercard pouvait être intercepté via l’attaque MITM durant un processus de désapparaige ou d’ordres de transaction. Mais le pire se trouvait du côté du code PIN : pour en créer un nouveau et écraser totalement l’ancien, seul l’identifiant de la Mastercard était nécessaire !
Tout a été résolu
L’ensemble des “vulnérabilités théoriques” de N26 découvertes par Vincent Haupert ont été corrigées. De plus, sans l’attaque MITM, rien n’aurait été possible.
Source : NextInpact
Crédits image : Flickr, Mario Behling
Les commentaires sont fermés.