Divers tests non intrusifs de sécurité, de respect de la vie privée et de conformité ont été effectués par la Communauté ImmuniWeb : test de sécurité SSL, test de sécurité du site Web, test de sécurité de l’application mobile, test de conformité PCI DSS… Résultat : de gros progrès restent à faire !

L’étude « State of Application Security at S&P Global World’s 100 Largest Banks » que vient de publier ImmuniWeb montre à quel point il y a un gouffre entre les annonces et la réalité

Alors que le cabinet Gartner affirme que le secteur bancaire est en tête des dépenses mondiales en matière de cybersécurité, cette étude donne des résultats édifiants :

• 7 % applications web e-banking contiennent des vulnérabilités connues et exploitables. La plus ancienne vulnérabilité non corrigée connue et rendue publique date de 2011 (CVE-2011-4969 impactant jQuery 1.6.1) ;

• 92 % des applications de services bancaires mobiles contiennent au moins une vulnérabilité de sécurité à risque moyen ;

• 100 % des banques ont des vulnérabilités de sécurité ou des problèmes liés à des sous-domaines oubliés.

Les vulnérabilités les plus populaires des sites Web étaient XSS (Cross Site Scripting, OWASP A7), OWASP A3 (Sensitive Data Exposure) et OWASP A6 (Security Misconfiguration).

Quant à la conformité, ce n’est pas mieux :

• 85 % des applications e-banking a échoué au test de conformité du RGPD ;
• La moitié (49 %) applications web e-banking a échoué au test de conformité PCI DSS.

Seuls trois sites principaux sur 100 ont décroché les notes les plus élevées “A+” à la fois pour le cryptage SSL et la sécurité du site Web : www.credit-suisse.com(Suisse), www.danskebank.com (Danemark) et www.handelsbanken.se (Suède).

En outre, un projet à but non lucratif Open Bug Bounty contient 147 rapports de vulnérabilité XSS affectant les sites Web des banques à partir de cette recherche. 28 vulnérabilités divulguées publiquement restent non corrigées, avec 5 vulnérabilités signalées et non corrigées depuis plus de 2 ans.

ImmuniWeb a aussi testé 55 applications bancaires en se référant au Top 10 des problèmes de sécurité et de confidentialité de Mobile OWASP. Là aussi, cela laisse à désirer :

• 100 % des applications contiennent au moins une vulnérabilité de sécurité à faible risque ;
• 92 % des applications contiennent au moins une vulnérabilité de sécurité à risque moyen ;
• Pire, 20 % des applications contiennent au moins une vulnérabilité de sécurité à haut risque.

On peut se demander si les banques prennent vraiment au sérieux la sécurité informatique. En 2015, au Black Hat Asia, un expert Français avait démontré les failles des applications bancaires et nous avions publié deux articles à ce sujet ! Des vulnérabilités qui avaient également été présentées un an plus tôt à la Chaos Computer Conference…