DSP2, merci disent les hackers !
La DSP2 pourrait considérablement élargir la surface d’attaque des entreprises de services financiers, ainsi que leurs clients, craint Trend Micro.
La DSP2, une aubaine pour les hackers. A croire Trend Micro, l’introduction de la nouvelle directive, le 14 septembre dernier, pourrait considérablement élargir la surface d’attaque des entreprises de services financiers, ainsi que leurs clients.
«Nous craignons que le secteur ne soit pas entièrement prêt à faire face à l’extension considérable de la surface d’attaque, indique Renaud Bidou, Presales Director, Europe & Technical Director, Southern Europe, Trend Micro. C’est pourquoi nous voulions évaluer les risques avant qu’ils ne se concrétisent, de façon à pouvoir accompagner efficacement les entreprises de la FinTech et les prêteurs traditionnels dans la protection de leurs ressources.»
Trois scénarios
Dans une étude, l’éditeur met en évidence plusieurs scénarios d’attaque possibles. Le premier, le plus évident, tient aux API. Les API publiques sont au cœur de l’Open Banking; elles permettent à des tiers agréés d’accéder aux données bancaires des utilisateurs pour proposer de nouveaux services financiers innovants. Les failles de mise en œuvre de ces API permettront aux pirates d’exploiter les serveurs de back-office pour dérober des données.
Deuxième scénario, des attaques contre les entreprises de la FinTech. Les utilisateurs seront contraints d’établir une nouvelle relation de confiance avec des prestataires ne disposant pas nécessairement les mêmes garanties en matière de protection des données ni autant de ressources que leurs banques. Lors d’une brève enquête auprès des entreprises intervenant dans le domaine de l’Open Banking, Trend Micro a constaté que ces dernières comprennent 20 salariés en moyenne… mais aucun professionnel dédié à la sécurité ! Elles constituent donc des cibles idéales pour les hackers, qui peuvent profiter des éventuelles failles de sécurité de leurs applications mobiles, API, techniques de partage de données et modules de sécurité, en cas de mise en œuvre incorrecte
Une approche Security by Design
Troisième scénario : des attaques contre les applications et plateformes mobiles. La plupart des services d’Open Banking seront déployés sous forme d’applications mobiles, une cible de choix pour les attaquants. En mettant la main sur le nom de l’utilisateur, son mot de passe ou les clés de chiffrement dans l’application, un hacker peut récupérer des données bancaires et usurper une identité. Même si les applications ne permettent pas d’effectuer des paiements, elles peuvent contenir des données relatives à des transactions. Un hacker peut ainsi établir un profil très précis de ses victimes.
Enfin, des attaques contre l’utilisateur. Les nouvelles applications d’Open Banking, liées à la DSP2, s’apprêtant à devenir le principal moyen pour les utilisateurs d’accéder aux données et aux services financiers, les attaques de phishing pourraient devenir très fructueuses pour les pirates.
L’étude apporte par ailleurs un éclairage sur la façon dont les établissements financiers peuvent renforcer leur cyber-résilience pour se préparer à l’évolution de leur environnement. Trend Micro détaille comment s’assurer que les URL ne contiennent jamais d’informations sensibles. Comment, aussi, privilégier les protocoles sécurisés. Et, enfin, éliminer les pratiques à risque. Enfin, Trend Micro conseille aux développeurs d’adopter une approche Security By Design, avec notamment, des audits logiciels réguliers.
Ces articles parlent de "Cybersecurity"
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC