Divers tests non intrusifs de sécurité, de respect de la vie privée et de conformité ont été effectués par la Communauté ImmuniWeb : test de sécurité SSL, test de sécurité du site Web, test de sécurité de l'application mobile, test de conformité PCI DSS… Résultat : de gros progrès restent à faire !

L’étude « State of Application Security at S&P Global World's 100 Largest Banks » que vient de publier ImmuniWeb (fournisseur mondial de tests automatisés de sécurité Web, mobiles et API)  montre à quel point il y a un gouffre entre les annonces et la réalité.

Selon une étude récente de Forrester, le marché de la sécurité applicative devrait dépasser 7 milliards de dollars américains d'ici 2023. De son côté, le cabinet Gartner affirme que le secteur bancaire est en tête des dépenses mondiales en matière de cybersécurité.

Mais, cette étude donne des résultats inquiétants. ImmuniWeb a étudié les applications Web externes, les API et les applications mobiles de la liste S&P Global qui contient les plus grandes organisations financières mondiales de 22 pays.

Elle constate en particulier que :

  • 92 % des applications de services bancaires mobiles contiennent au moins une vulnérabilité de sécurité à risque moyen ;
  • 100 % des banques ont des vulnérabilités de sécurité ou des problèmes liés à des sous-domaines oubliés.

Plus d’un an après l’entrée en application du RGPD (validé dès avril 2016), beaucoup de sites d’établissements bancaires ne sont pas en conformité.

01

Les sites modernes tirent parti de combinaisons particulières de frameworks propriétaires et open source et d'autres logiciels pour améliorer les performances, le suivi ou le référencement.

Mais l’intégration de différents fournisseurs (dont certains peuvent être éphémères) entraîne des risques croissants qui peuvent même impacter les principaux sites des banques, mais également les sous-domaines.

D’ailleurs, ImmuniWeb indique avoir détecté environ 6500 domaines cybersquattés de nature illicite, frauduleuse (Bitcoin et autres cryptomonnaies) ou potentiellement trompeuse.

02

En outre, un projet à but non lucratif Open Bug Bounty contient 147 rapports de vulnérabilité XSS affectant les sites Web des banques à partir de cette recherche. 28 vulnérabilités divulguées publiquement restent non corrigées, avec 5 vulnérabilités signalées et non corrigées depuis plus de 2 ans.

Les vulnérabilités les plus populaires des sites Web étaient XSS (Cross Site Scripting, OWASP A7), OWASP A3 (Sensitive Data Exposure) et OWASP A6 (Security Misconfiguration).

Seuls trois sites principaux sur 100 ont décroché les notes les plus élevées "A+" à la fois pour le cryptage SSL et la sécurité du site Web : www.credit-suisse.com(Suisse), www.danskebank.com (Danemark) et www.handelsbanken.se (Suède).

ImmuniWeb  a aussi testé 55 applications bancaires en se référant au Top 10 des problèmes de sécurité et de confidentialité de Mobile OWASP. Là aussi, cela laisse à désirer :

  • 100 % des applications contiennent au moins une vulnérabilité de sécurité à faible risque ;
  • 92 % des applications contiennent au moins une vulnérabilité de sécurité à risque moyen ;
  • Pire, 20 % des applications contiennent au moins une vulnérabilité de sécurité à haut risque.

Quant à la conformité avec la réglementation, ce n’est pas mieux :

  • 85 % des applications e-banking a échoué au test de conformité du RGPD ;
  • La moitié (49 %) applications web e-banking a échoué au test de conformité PCI DSS.

On peut se demander si les banques prennent vraiment au sérieux la sécurité informatique. En 2015, au Black Hat Asia, un expert français avait présenté différentes failles dans les applications bancaires. Des vulnérabilités qui avaient également été présentées un an plus tôt à la Chaos Computer Conference...

Source : immuniweb.com