Adresses mail, codes PIN en clair… moisson estivale de failles de cybersécurité

Mi-juillet, F-Secure a établi son panorama des cyber menaces pour le secteur financier tandis que OneSpan est revenu sur les tendances qui portent l’amélioration de la gestion de la fraude. L’expert en systèmes et logiciels de sécurité informatique note notamment que les fuites de données sont le carburant de quantités de cyberattaques, et que les terminaux mobiles et en ligne sont les plus souvent visés par les fraudeurs. Mais il souligne aussi une augmentation de la détection et des méthodes d’authentification basées sur le cloud, la création de hubs dédiés à l’authentification et à la détection de la fraude, ainsi qu’un usage croissant des données pour effectuer des analyses poussées et éviter les intrusions. Malgré tout, l’été aura démontré que banques et institutions financières ont encore une marge importante de progression avant d’assurer parfaitement la sécurité des données de leurs clients, comme celle de leurs fonds.

Adresses mail et codes PIN trop accessibles

Fidor, par exemple, avait déjà de quoi s’occuper, secouée par le désaccord entre son CEO et la BPCE puis son retrait du marché britannique, mais la société a aussi dû composer avec une faille de sécurité. Jusque début août, rapporte le média allemand IT Finanzmagazin, les adresses mails de membres de sa communauté étaient ainsi lisibles en clair dans le code HTML de ses pages. La faille existait probablement depuis plusieurs mois, car il est toujours possible de consulter les adresses mails d’utilisateurs de Fidor dans les versions antérieures du site, comme celle consignée par webarchive.net le 18 avril dernier. Selon la banque en ligne, les autres données sensibles (données bancaires ou d’accès aux comptes) ne sont pas concernées et restent en sécurité. 

Autre fuite gênante, celle constatée par la néo-banque britannique Monzo. Le 5 août, celle-ci annonçait que les codes PIN des cartes de près de 500 000 de ses 2,6 millions de clients, sauvegardés dans un endroit “particulièrement sécurisé” de son système interne, avaient aussi été copiés dans des fichiers de logs (ou de journalisation). Si ces derniers sont chiffrés, ils sont néanmoins accessibles à 110 ingénieurs qui ne profitent habituellement pas d’accès à ce type de données bancaires sensibles. La banque mobile a annoncé avoir modifié les modalités de sauvegarde, et qu’aucune des données en question n’a été utilisée à des fins frauduleuses. Néanmoins, elle a demandé aux propriétaires des 480 000 comptes concernés de changer leur code PIN, par acquis de conscience. 

Les fournisseurs de cartes dans le viseur

Côté fournisseurs de cartes bancaires, ni Visa ni Mastercard ne parviennent à éviter totalement les problèmes. Au Royaume-Uni, des chercheurs de Positive Technologies ont ainsi mis à jour une vulnérabilité affectant la fonctionnalité sans contact des cartes Visa. Testée auprès de cinq banques britanniques, une faille peut effectivement être exploitée pour dépasser la limite de 30 livres, indépendamment du terminal de paiement utilisé. Les chercheurs y sont parvenus en employant la technique d’attaque “man in the middle”, dans laquelle un outil sert de proxy pour détourner la communication entre la carte et le terminal : il dit à la première qu’aucune vérification de PIN n’est nécessaire, même si la limite de 30 livres est dépassée, puis au second que la vérification a déjà été effectuée. Les chercheurs affirment que la faille peut aussi être utilisée en dehors du Royaume-Uni. Contacté par mind Fintech, Visa affirme de son côté que ce type d’attaque s’est révélé “difficile à imiter par les fraudeurs dans la pratique” et note que “le taux de fraude observé sur les paiemets sans contact dans le monde a baissé de 33% entre 2017 et 2018 et de 40% en Europe“.

Un programme de MasterCard Allemagne, enfin, s’est révélé faillible ce lundi. Le site spécialisé Caschys Blog a rapporté la fuite d’une liste de 90 000 personnes inscrite au programme Priceless Specials (une offre de cahsback aussi disponible en France). Cette dernière comprend notamment les noms, dates de naissance, numéros de téléphones et adresses physiques et e-mails des personnes y ayant souscrit. La plateforme allemande d’incription au programme a été fermée dans la soirée, et MasterCard a déclaré au blog allemand avoir été “alertée du problème”, “prendre la vie privée très au sérieux” et enquêter sur la question. Cette dernière n’a aucun lien ni impact sur le réseau de paiement de Mastercard, a précisé l’entreprise.