N26 montre ses failles face aux hackers et pirates du web

Fin de l’année dernière, la néo-banque allemande N26 a été piratée par un expert en sécurité. C’est plus précisément l’application mobile qui été testée et il n’aura fallu que 5 minutes à l’expert pour pénétrer dans le système et réussir à effectuer des transactions. Bien évidemment, toutes les vulnérabilités du site et de l’interface mobile ont depuis été corrigées. 

N26 banque en ligne

Un atelier à l’origine des trouvailles

C’est lors du Chaos Cummunication Congress de Hambourg que Vincent Haupert, un expert en sécurité est parvenu à mettre en évidence quelques failles de la néobanque allemande. L’atelier « Tais-toi et prend l’argent » demandait aux candidats d’essayer de hacker N26 le plus rapidement possible. La banque sur mobile originaire d’Allemagne est accessible en France depuis décembre 2016. Elle propose à ses clients une utilisation 100% mobile et une ouverture d’un compte en 8 minutes chrono. Il n’en aura fallu que 5…pour hacker un compte. C’est en passant par l’application mobile que l’expert est parvenu à passer outre les multiples sécurités pour réaliser une transaction.

Cette surprise est d’autant plus étonnante que l’ensemble des normes de sécurité sont respectées par l’établissement. Il faut notamment une authentification via adresse mail avec mot de passe afin de pouvoir se connecter à son compte sur l’application mobile. En plus de cela, un code à quatre chiffres est envoyé par sms afin d’assurer une double sécurité. Le client doit également renseigner son numéro de téléphone lors de son inscription afin d’associer le mobile avec le compte et éviter tout type de connexion frauduleuse.

Tout connaisseur pouvait hacker la banque mobile

Vincent Haupert a prouvé que la version mobile de N26, qu’elle soit sous Android ou sous iOS, était assez facilement pénétrable par des « hommes du milieu (MITM) ». Le problème venait du fait que l’application chiffre les données via HTTPS sans vérifier les certificats émanants des serveurs N26. Un hacker n’avait alors qu’à se procurer de faux certificats afin de détourner le trafic entre les serveurs de N26 et l’application. Une fois ces certificats utilisés, l’expert n’avait plus qu’à contrôler l’API de N26 et avait tout contrôler sur l’ensemble des demandes de virements en utilisant le réseau de l’utilisateur.

Afin de se procurer les noms de comptes et mots de passe du client, Vincent Haupert a eu recours au spear phishing. Encore une faille de la banque N26 qui laisse libre accès pour le téléchargement des contacts (votre mail et numéro de téléphone sont accessibles) directement depuis l’application mobile. Toute la base de donnée n’est pas cryptée dans le système back-end. Par conséquent, l’expert est allé chercher dans cette base de données dérobée à Dropbox (qui compte légèrement plus de 68.000.000 de comptes) pour mettre son piège en application. Il est très rapidement parvenu à recenser près de 33.000 clients de la banque allemande. C’est à toutes ces personnes qu’il aurait pu envoyer un mail de phishing leur demandant de modifier leur code de connexion. C’est grâce à celles ci qu’il pouvait se connecter à n’importe quel compte.

1.000 transferts réalisés en 30 minutes

Tous les identifiants en sa possession, il a alors été en mesure d’effectuer des transactions directement via son assistant vocal Siri. Afin de confirmer le succès de son hack, il a effectué 1.000 transactions de 1 centime en l’espace de 30 minutes sans qu’aucun algorithme anti-fraude de N26 ne le remarque. Histoire de remuer encore davantage de couteau dans la plaie, les échanges via l’API regorgeaient de références de cartes bancaires Mastercard dotés d’un processus de connexion à 4 chiffres pour tous les transferts. Une attaque peu habile par de très nombreux essais peut aboutir au franchissement de cet obstacle, surtout avec un nombre d’essais illimité…

Immédiatement, Vincent Haupert a pris contact avec la néo-banque N26 pour les informer des différentes failles. Cette dernière a très vite pris les choses en mains pour mettre fin à ces vulnérabilités dans leur système de sécurité. Afin d’améliorer toujours plus sa protection, elle a mis en place un programme de recherche de vulnérabilité. Ce bug bounty touchera à la fois les applications sur iOS et Android et le sites internet number26.de, n26.com et tech26.de. Elle a également profité de cette occasion pour proposer une subvention de 5.000 euros pour la rédaction de deux thèses sur la sécurité informatique.

Malgré tout, n’ayez crainte. Les banques en ligne française, qui existent pour les plus anciennes depuis presque 20 ans, n’ont jamais connu de hack mettant en danger les comptes des clients. Vous pourrez être sûrs en ouvrant un compte chez Hello Bank ou ING Direct, pour n’en citer que deux, que votre compte sera parfaitement sécurisé.

Visiter Hello Bank

N26 montre ses failles face aux hackers et pirates du web
5 (100%) 2 votes

Laisser un commentaire