Cinq façons pour les banques de protéger les applications bancaires mobiles et les transactions

Remarque : certains des liens menant vers d'autres pages sont uniquement disponibles en anglais.

Dans un contexte où la sophistication et le nombre d’attaques frauduleuses augmentent d’année en année, les attaques contre les services bancaires mobiles sont à des niveaux records. Selon un rapport de renseignements sur la menace publié en 2021, plus de 200 millions d’appareils dans le monde ont subi une augmentation de 80 %, pendant la première moitié de 2021, du nombre de nouveaux chevaux de Troie bancaires attaquant ces appareils et tentant de voler les mots de passe uniques par SMS. En juin 2020, le FBI a publié un avertissement relatif à la cybersécurité, puisqu’il prévoyait une hausse du nombre d’attaques perpétrées contre les clients de services bancaires mobiles en raison de l’utilisation exponentielle des applications bancaires et de la diminution de la fréquentation des succursales, en partie causées par la pandémie de COVID-19. Comme un nombre accru de clients effectuent leurs activités bancaires en ligne sur leurs appareils mobiles et que les obstacles permettant aux fraudeurs d’agir s’atténuent, les institutions financières doivent, de façon urgente, déployer une sécurité avancée sur leurs applications afin de protéger à la fois leurs clients et leur marque.

Lors d’une récente entrevue vidéo, Greg Hancell, directeur de la stratégie des données, Gestion de produits à OneSpan, a décrit les méthodes et technologies que les institutions financières peuvent utiliser pour protéger les appareils et les transactions de leurs clients. Dans cet article, nous vous présenterons ses cinq principales recommandations, ainsi que des réflexions et des renseignements supplémentaires fournis par des experts de la sécurité.

1. Éliminer les mots de passe statiques et passer à l’authentification forte client
2. Utiliser l’authentification contextuelle fondée sur l’analyse des comportements
3. Mettre en place un canal de sécurité doté d’un cryptage de bout en bout
4. Mettre en œuvre une sécurité d’application et une détection des logiciels malveillants avancées
5. Renforcer la confiance en protégeant les services bancaires mobiles

Cette vidéo est disponible seulement en anglais

Quels sont les différents types d’attaques visant les services bancaires mobiles?

Les attaques visant les services bancaires mobiles peuvent comprendre, sans s’y limiter :

• Les attaques par émulateur – Dans le cadre de ces attaques, les fraudeurs tirent profit des appareils compromis des utilisateurs (appareils qui contiennent des logiciels malveillants) pour voler des données et des mots de passe. Les criminels transfèrent ensuite ces données à des émulateurs, qui simulent l’intervention d’un utilisateur légitime et automatisent le flux de travail des interactions typiques sur les applications, ce qui permet à ces criminels d’intercepter des codes d’autorisation envoyés par message SMS et d’obtenir l’approbation nécessaire pour effectuer des transactions bancaires frauduleuses.
• La permutation de carte SIM – Cette fraude est un type d’attaque de prise de contrôle de compte où le fraudeur utilise des techniques d’ingénierie sociale pour transférer le numéro de téléphone cellulaire de l’utilisateur à une autre carte SIM, ce qui permet à ce fraudeur d’effectuer des transactions frauduleuses au moyen d’une authentification à deux facteurs (2FA) qui utilise une vérification par SMS. Les institutions financières peuvent aider à atténuer le risque de fraude par permutation de carte SIM en intégrant une authentification logicielle à l’application bancaire.
• L’hameçonnage mobile — les fraudeurs envoient, par message texte ou par courriel, un lien qui contient une charge malveillante. La victime clique sur le lien et une ruse peut l’inciter à entrer ses renseignements personnels sur une page Web qu’elle croit être authentique ou à télécharger à son insu un logiciel espion sur son appareil.
• Les chevaux de Troie visant les applications bancaires mobiles — Téléchargement d’un fichier ou d’une application de tiers qui semble être légitime — que ce soit sur les magasins d’applications Apple ou Android ou qu’il s’agisse d’un téléchargement direct sur un site — mais qui, en réalité, cache un logiciel malveillant qui cible les applications bancaires mobiles sur le téléphone intelligent où il est téléchargé. Le logiciel malveillant peut ensuite capter les renseignements bancaires et les autres données sensibles que l’utilisateur envoie afin de voler l’identité de l’utilisateur, d’obtenir ses identifiants de connexion, d’infiltrer son compte bancaire ou d’intercepter des transferts de fonds.

Comment protéger, à l’aide de couches de sécurité, les appareils et les transactions contre les attaques visant les applications bancaires mobiles et les activités suspectes

1. Éliminer les mots de passe statiques et passer à l’authentification forte client

Le premier conseil de Greg pour pallier les vulnérabilités est lié à l’authentification des utilisateurs, soit les étapes qu’un client accomplit pour s’authentifier lors de la connexion ou lorsqu’il effectue une transaction.

« Si vous utilisez des mots de passe statiques, passez à l’authentification à deux facteurs. Si vous utilisez les messages SMS pour l’authentification à deux facteurs, optez pour l’authentification forte client. Et si vous utilisez l’authentification forte client, passez à la liaison dynamique et à l’authentification contextuelle. »

La norme par excellence en matière de sécurité bancaire que Greg recommande aux institutions financières est l’utilisation de l’authentification forte client fondée sur une liaison dynamique et une authentification contextuelle.

L’authentification forte client fait appel à l’authentification multi-facteurs pour confirmer l’identité d’un client lors de l’ouverture de session et de l’autorisation d’une transaction. Allant bien plus loin qu’un mot de passe robuste, l’authentification multi-facteurs utilise trois facteurs courants : quelque chose que l’utilisateur « connaît », comme un NIP; quelque chose que l’utilisateur « possède », comme un appareil mobile ou un jeton matériel; et ce que l’utilisateur « est », comme une empreinte digitale ou une reconnaissance faciale, qui sont des méthodes de vérification biométrique.

2. Utiliser l’authentification contextuelle fondée sur l’analyse des comportements

L’authentification contextuelle, aussi appelée « authentification adaptative », tient compte du contexte ou du comportement associés à un événement comme une ouverture de session, la création d’un bénéficiaire ou une transaction. L’authentification adaptative et l’analyse comportementale passent en revue des quantités considérables de données liées au comportement de l’utilisateur, à son téléphone cellulaire et à la transaction en temps réel, ce qui conduit au calcul d’un pointage de risque. Ce pointage active des flux de travail de sécurité automatisés qui mettent en œuvre les mesures de sécurité exactes nécessaires. Comme le conseille Greg :

« Les banques gagneraient aussi à utiliser l’analyse comportementale. Il faut être en mesure de comprendre que l’utilisateur fait normalement, à quel moment il a l’habitude de se connecter et quels types d’appareils il utilise. Il faut également s’assurer de bien comprendre les interactions de l’utilisateur sur cet appareil d’un point de vue financier. »

En connaissant les comportements habituels d’un utilisateur, les banques, les institutions financières et les organisations de services financiers peuvent mettre en œuvre des méthodes d’authentification supplémentaires lorsque le comportement de l’utilisateur s’écarte de ses activités normales. Dans son article de 2021 intitulé « Authentification avancée : un plan d’attaque pour votre pile d’authentification », Sam Bakken, expert en sécurité, explique le fonctionnement de cette méthode plus en détail :

« Un portail d’orchestration au cœur duquel se trouve un système avancé de prévention de la fraude peut faire appel à l’intelligence artificielle et à l’apprentissage automatique pour évaluer si le comportement d’un utilisateur est conforme à celui qu’une véritable personne adopterait lors d’une transaction légitime. Si les signaux de risque d’une transaction sonnent l’alarme, l’identité numérique du client peut être confirmée au moyen d’une nouvelle méthode d’authentification et d’un deuxième facteur, ce qui garantit un accès sécurisé à l’application. »

3. Mettre en place un canal sécurité doté d’un cryptage de bout en bout

Pour mettre en œuvre la sécurité la plus robuste dans le cadre de la communication entre un serveur et l’iPhone, le téléphone intelligent ou l’appareil mobile d’un client, Greg recommande aux institutions financières de déployer un cryptage de bout en bout avec un canal sécurisé.

« Le canal sécurisé signifie que seul l’appareil de l’utilisateur peut décrypter et voir le mot de passe unique et les détails qui y sont associés, en plus du contexte. »

Cette couche de protection supplémentaire fonctionne en cryptant les données de façon indépendante du côté serveur pour qu’elles soient ensuite décryptées sur l’appareil mobile. Elle assure le transfert sécurisé vers l’appareil et à partir de celui-ci, ce qui permet d’établir une communication fiable entre l’utilisateur et le serveur. Cette couche, lorsqu’elle est utilisée avec le blindage des applications, empêche les logiciels malveillants d’intercepter les mots de passe uniques envoyés en texte clair (comme les SMS) et renvoie un contexte riche au serveur en prenant une décision fondée sur le risque relativement à l’utilisateur et à son appareil.

4. Mettre en œuvre une sécurité d’application et une détection des logiciels malveillants avancées

En plus de conseiller d’améliorer la sécurité de l’authentification des transactions, Greg recommande que les banques mettent en place une sécurité avancée pour leurs applications :

« Dans le domaine des applications bancaires mobiles, il faut faire appel à une sécurité d’application avancée, comme le durcissement des applications, les outils d’inviolabilité et la détection des logiciels malveillants. »

Le blindage et le durcissement des applications sont des types de protection intégrée aux applications qui font appel au brouillage du code, à la détection de débogueurs, à la détection des attaques superposées et à d’autres techniques pour protéger les applications contre les attaques comme la rétro-ingénierie et les altérations. Ces outils comprennent des mesures qui augmentent le niveau d’effort nécessaire pour qu’un acteur malveillant s’attaque à l’application.

Sony Bank, une banque japonaise offrant des services bancaires électroniques, a mis en place le blindage d’application pour protéger son application bancaire mobile. Le blindage d’application protège l’application mobile de Sony Bank en empêchant que soient exécutées des techniques de rétro-ingénierie, grâce au brouillage (obfuscation) du code et des technologies anti-reconditionnement. De plus, il repère activement les menaces comme l’enregistrement malveillant de la frappe, les lecteurs d’écran, les débogueurs, les émulateurs et les attaques superposées.

5. Renforcer la confiance en protégeant les services bancaires mobiles

Dans un article publié en 2021, intitulé « Développement d’applications mobiles sécurisées : faire l’analyse de rentabilisation du blindage d’applications », », nous avons souligné que la valeur du blindage d’applications va au-delà de l’atténuation des menaces mobiles et du code malveillant du côté client.

« Le blindage des applications peut également accroître la confiance, améliorer l’expérience client et avoir un impact positif sur la croissance des revenus, la rétention des revenus, la réduction des coûts et l’évitement des coûts. (…) La recherche suggère que les utilisateurs mobiles qui font confiance à leur institution financière pour protéger leurs informations personnelles, de compte et de paiement sont plus engagés et transigent plus dans le canal mobile. Le blindage d’applications, ainsi qu’un programme complet de sécurité des applications mobiles, réduit considérablement les risques de sécurité des applications mobiles, ce qui accroît la confiance dans une banque. »

Greg Hancell fait écho à cette déclaration : il est lui aussi d’avis que la mise en œuvre du type approprié de sécurité et la protection des données personnelles des consommateurs sont essentielles pour renforcer la confiance des consommateurs envers le canal mobile.

« Si vous mettez en place le bon type de sécurité, vous pouvez améliorer la confiance que les gens ont envers votre canal numérique par l’entremise de votre application mobile. »

Comment procéder à la mise en place du blindage des applications mobiles pour protéger ces applications et les services bancaires

Il n’est pas facile de développer une application bancaire mobile efficace et couronnée de succès, et les équipes de développement composent avec des pressions provenant de partout. Bien qu’il soit important de créer une application bancaire mobile, de la mettre à l’essai et de la lancer le plus rapidement possible, il est tout aussi crucial de la protéger.

Le blindage des applications mobiles est facile à mettre en place et peut être activé en quelques minutes. Certaines des plus grandes banques et institutions financières au monde font confiance à OneSpan Application Shielding pour répondre à leurs exigences rigoureuses en matière de sécurité d’application mobile sans retarder le lancement de leur application. NewB, une banque entièrement numérique, utilise le blindage d’application et une authentification infonuagique pour protéger les utilisateurs de son application mobile et leurs transactions. En ce qui a trait à la vitesse de l’intégration, NewB a affirmé qu’elle « n’avait eu besoin que de quelques jours pour configurer la fonctionnalité de blindage d’application mobile de OneSpan pour protéger l’application bancaire mobile qu’elle venait tout juste de mettre au point. »

Raiffeisen Italy utilise aussi le blindage d’application mobile pour protéger son application et a été la première banque à entrer sur le marché avec cette technologie en Italie. La banque peut maintenant détecter et bloquer les attaques perpétrées contre son application d’authentification en temps réel — sans interrompre l’expérience client. L’outil OneSpan Application Shielding a été facile à intégrer et n’a pas été un fardeau pour ses développeurs. Alexander Kiesswetter, dirigeant principal de l’information de la banque, conseille aux institutions financières qui souhaitent emboiter le pas à Raiffeisen Italy de « choisir un partenaire fort qui possède une vision stratégique de l’évolution de votre transformation numérique dans l’avenir. »