Manuel de sécurité pour les FinTech

Qu’est-ce que les développeurs et les opérateurs de plateformes de courtage doivent garder à l’esprit ?

En 2019, les marchés boursiers mondiaux ont connu une croissance de 17 mille milliards de dollars et même si tous les marchés sont mis à mal par la pandémie (c’est le moins que l’on puisse dire), les investissements intéressent toujours autant. Depuis début 2020, le nombre d’utilisateurs d’applications d’investissements boursiers ne cesse d’augmenter.

En revanche, les actifs et les données personnelles de ces traders électroniques sont une proie facile pour les cybercriminels et, en cas d’incidents, ce sont les opérateurs de la plateforme qui doivent faire face aux conséquences. Dans cet article, nous allons voir quelles sont les principales menaces que rencontrent les entreprises et comment elles arrivent à en venir à bout.

Vulnérabilités dans les applications

Tout comme n’importe quel programme, les plateformes de courtage sont vulnérables. En 2018, l’expert en cybersécurité Alejandro Hernandez a trouvé des failles dans 79 applications de ce genre, d’autant que certaines ne chiffraient pas les données stockées ou transmises (n’importe qui pouvait les voir ou les modifier) et d’autres ne déconnectaient pas automatiquement l’utilisateur après une certaine période d’inactivité. Il y avait aussi des défauts de conception puisque les mots de passe faibles étaient acceptés.

Un an plus tard, les analystes de ImmuniWeb ont effectué une étude similaire et en sont arrivés à une conclusion tout aussi négative. Sur les 100 développements de FinTech testés, tous sont vulnérables dans une certaine mesure. Des problèmes ont été trouvés dans le site Web et les applications mobiles, avec de nombreux bugs qui proviennent des développements et des outils tiers utilisés par les programmateurs. Certaines vulnérabilités ont été corrigées depuis longtemps mais les patchs n’ont pas été installés. Un d’entre eux a été publié en 2012 mais les auteurs de l’application de FinTech n’ont jamais trouvé le temps de l’installer.

Aussi sûr qu’à la nuit succède le jour, si un produit a des problèmes de sécurité ils vont se savoir et peuvent porter préjudice à la réputation de l’entreprise voire effrayer les clients. Si à cause d’un bug de l’application les utilisateurs sont victimes d’une fuite de données ou de pertes financières, le développeur pourrait recevoir une lourde amende ou être obligé de dédommager les victimes.

Parfois, le créateur de la plateforme est la seule victime. Par exemple, les auteurs de l’application de courtage Robinhood n’ont pas su détecter un bug qui permettait aux utilisateurs premium d’emprunter auprès de la plateforme des sommes aux montants illimités pour négocier les titres. Ainsi, un utilisateur a emprunté un million de dollars avec un dépôt de seulement 4 000 dollars. Les traders l’ont surnommé le  » code de triche pour de l’argent sans limites « .

Pour éviter les pertes liées aux bugs et aux vulnérabilités, les codeurs des plateformes de courtage doivent prendre en compte la sécurité lors du développement et réfléchir à l’avance à certains points tels que la déconnexion de l’utilisateur, le chiffrement et l’obligation de choisir un mot de passe complexe. Ils devraient aussi revoir régulièrement le code pour détecter les erreurs et les corriger rapidement.

Attaques de la chaîne d’approvisionnement

Pour économiser du temps et de l’argent, la plupart des entreprises écrivent elles-mêmes leur code mais ont aussi recours à des développements, des cadres et des services tiers. Si l’infrastructure d’un fournisseur est en danger, les entreprises qui l’utilisent peuvent aussi en pâtir.

C’est ce qui est arrivé au courtier Pepperstone. En août 2020, les cybercriminels ont infecté les ordinateurs d’une entreprise contractuelle et ont eu accès aux comptes du système CRM de Pepperstone. Même si cette entrée par effraction a rapidement été contrôlée, les pirates informatiques ont eu le temps de voler certaines données clients. L’entreprise a déclaré que ses systèmes financiers et de courtage n’avaient pas été affectés. N’oubliez pas tout de même que les fuites de données peuvent coûter très cher aux entreprises, même si le responsable est un code tiers.

Afin d’éviter d’éventuels dégâts, choisissez toujours des partenaires fiables qui prennent en compte la sécurité et ne faites pas entièrement confiance à leurs mécanismes de protection. N’importe quelle entreprise dans le domaine de la finance devrait adopter une politique de sécurité stricte.

Spear phishing

Le facteur humain est souvent à l’origine de cyber-incidents. C’est pourquoi les cybercriminels se servent des employés pour accéder aux infrastructures d’une entreprise.

C’est dans ce contexte qu’en juillet de cette année des chercheurs en cybersécurité ont fait le lien entre toute une série d’attaques qui s’en prenaient à des FinTech en Europe, au Royaume-Uni, au Canada et en Australie, et le groupe d’APT Evilnum. Les cybercriminels envoyaient des e-mails au personnel de l’entreprise avec le lien d’une archive ZIP hébergée dans un service Cloud légitime. Les messages se disaient professionnels et l’archive semblait contenir des documents ou des images. Même si le document ou l’image promis s’affichait sur l’écran, la simple ouverture du fichier faisait entrer la chaîne d’infection en action.

Les cybercriminels arrivaient parfois à accéder aux comptes professionnels des adresses e-mail ce qui rend l’hameçonnage encore plus convaincant. L’entreprise de trading Virtu a été victime d’une attaque de ce genre en août de cette année. Selon les représentants de l’entreprise, les cybercriminels se sont faufilés dans la boîte de réception d’un cadre supérieur et ont envoyé des e-mails pendant deux semaines au service de comptabilité pour faire des virements de sommes importantes vers la Chine. Cette confiance aveugle a coûté 11 millions de dollars à l’entreprise.

Problèmes du côté du client

Parfois, les utilisateurs perdent de l’argent et ce n’est pas la faute de l’entreprise ni de l’application. Il suffit de télécharger un malware, de saisir le mot de passe sur un site d’hameçonnage ou de commettre un acte irresponsable. Malheureusement, même dans cette situation l’utilisateur pourrait engager des poursuites contre la plateforme de courtage. Dans certains pays, les entreprises sont juridiquement tenues de découvrir ce qui s’est passé donc il vaut mieux avertir de temps en temps les utilisateurs des éventuels dangers et leur demander de se protéger (et donc de vous protéger).

Il est également conseillé de rappeler régulièrement à vos clients que tout programme tiers, surtout s’il est piraté ou téléchargé depuis une source douteuse, peut être une menace. Par exemple, il pourrait voler vos mots de passe, y compris ceux de vos comptes de courtage.

Avertissez vos clients que les cybercriminels peuvent se faire passer pour vos services afin d’obtenir leurs identifiants. Conseillez-leur de lire attentivement les e-mails qui mentionnent certains problèmes avec le service et de vérifier minutieusement l’adresse de l’expéditeur et le corps du message pour voir s’il n’y a pas des fautes de frappe ou de grammaire. Recommandez-leur de saisir manuellement l’URL dans le navigateur, d’ouvrir l’application ou de contacter le service client en cas de doute.

Comment protéger votre argent et votre réputation

Les FinTech assument de grandes responsabilités lorsqu’elles manipulent de l’argent et négliger la sécurité pourrait leur coûter très cher. Par conséquent :

  • Contrôlez la sécurité de vos applications et de vos programmes. Analysez-les pour détecter les vulnérabilités et ne tolérez aucun bug ou erreur.
  • Installez une solution de sécurité fiable sur les dispositifs de l’entreprise. Dans l’idéal, elle devrait être basée sur le Cloud et gérée depuis un seul panneau de contrôle.
  • Formez vos employés aux principes fondamentaux de la cybersécurité pour qu’ils ne commettent pas d’erreurs qui pourraient vous stresser et vous coûter beaucoup d’argent, mais aussi à vos clients.
  • Adoptez une politique de sécurité aussi stricte que possible pour vos employés et les fournisseurs tiers.
  • Rappelez à vos clients que la sécurité de leur argent dépend en grande partie d’eux. Conseillez-leur d’installer une solution de sécurité sur l’appareil qu’ils utilisent pour leurs échanges financiers et de ne pas ouvrir les spams.
  • Mettez en place des mécanismes de sécurité dans vos développements dès le début. Cela signifie qu’il faut au moins commencer par empêcher l’utilisation de mots de passe faibles, qu’il faut se servir du chiffrement et qu’il faut configurer la déconnexion automatique des utilisateurs inactifs.
Conseils