Open banking, une arme à double tranchant ?
Dis-moi ce que tu achètes, je te dirai qui tu es ! Pour ESET, l’Open banking n’est pas sans danger. Les risques vont bin plus loin que la confidentialité…
Open banking, vraiment ? « Vérifiez vos 20 dernières transactions bancaires. Ce que l’on voit suffit à établir votre profil, à comprendre vos habitudes et même à tirer des conclusions sur votre état de santé… Sommes-nous disposés à partager toutes ces informations ? »
Car qui dit ouverture, dit partage. Pour ESET, le partage croissant des données financières et l’interconnexion des infrastructures conduisent à l’émergence de problématiques majeures en matière de risques cyber. En effet, lorsque des données sont partagées, les banques doivent s’assurer qu’elles partagent des informations aux bonnes entités et sont responsables pour toute donnée transmise à des tiers non autorisés.
Open banking, efforts concertés
Mes transactions disent beaucoup de moi. Que, via un abonnement de métro payé en ligne, j’utilise les transports en commun. Que j’ai un problème de santé -deux visites médicales et une à la pharmacie ces derniers jours. Que je cuisine plutôt que d’aller au restaurant -où je suis allé au restaurant et combien j’ai dépensé…
« Sommes-nous disposés à donner toutes ces informations ? Le gouvernement britannique estime que d’ici septembre 2023, 60 % de la population de pays aura recours à l’open banking. Ce nombre élevé résulte d’efforts concertés pour mettre en œuvre des normes bancaires ouvertes, ainsi qu’une norme API définissant comment les données financières doivent être créées et partagées et comment l’accès aux données financières doit être permis. »
Le Royaume-Uni était encore membre de l’UE lorsqu’en 2015 il a approuvé la première législation dans ce domaine, principalement pour stimuler la concurrence dans le secteur bancaire. Simultanément, l’Australie a fait pression pour une banque ouverte et le partage de données par le biais de sa politique Consumer Data Right. D’autres pays comme les Etats-Unis, mais aussi en Amérique latine, progressent avec leur propre législation.
Plus loin que la confidentialité
Alors que certains pays pourraient élaborer des directives plus strictes pour déterminer quelles applis et quels fournisseurs utiliseront l’open banking, les risques vont bien plus loin que la confidentialité et incluent les cyberattaques…
Pour ESET, les attaques de phishing contre les clients sont courantes. « Si cliquer sur le mauvais lien et introduire vos informations bancaires sur un faux site Web est un problème aujourd’hui, imaginez combien de telles attaques peuvent être encore plus risquées. Vous seriez forcé à donner l’accès à une appli qui rassemble votre historique financier complet et les criminels pourraient vider vos comptes. »
Deuxième source de risques, les applis mobiles malveillantes. « Elles peuvent nous faire croire qu’elles sont de vraies applis aux fonctionnalités bancaires ouvertes et qu’elles demandent des informations d’identification bancaires… »
Ensuite, les fuites de données. « Elles peuvent exposer les antécédents financiers complets de milliers de personnes qui ont fait confiance à un fournisseur de services qui a été attaqué. » Des annonceurs peuvent, aussi, voir nos données en payant. Et même les utiliser sans notre consentement. Enfin, les attaques APT peuvent cibler des personnes spécifiques.
Et demain ?
Si l’avenir est à l’open banking pour de multiples raisons, son adoption ne se fera pas au même rythme partout, compte tenu, aussi, des défis et des risques imminents -voire déjà présents.
« Chaque jour, en tant que société, nous parlons de la valeur de nos données, et nous pouvons voir comment plus particulièrement les grandes entreprises acquièrent des services dans différents domaines : la santé, la banque, la technologie, les places de marché. Leur donner la possibilité de connecter ces différents domaines et de les associer à nos données bancaires pourrait améliorer nos expériences utilisateur avec ces entreprises et introduire la banque traditionnelle dans un monde technologique plus innovant. Mais, prévient ESET, cela nous obligera aussi à divulguer certaines de nos informations les plus privées. »