Des failles dans la sécurité de N26?
Ironiquement titré « N26 : 8 minutes pour ouvrir un compte… 5 minutes pour le pirater », un article du site silicon.fr nous apprend que l’expert en sécurité Vincent Hauper a réussi à hacker l’appli de la néobanque N26 (ex-Number26). Le « pirate » a pu réaliser 1 000 transferts d’argent en 30 minutes sans détection des algorithmes anti-fraude N26. Heureusement, Vincent Hauper a contacté la néobanque qui a su réagir très vite. Pour rassurer ses 200 000 clients, N26 s’est même fendue d’un article intitulé « Comment N26 assure la sécurité de votre compte bancaire », publié sur son site. Focus.
L’appli N26 vulnérable à une attaque « Man-in-the-middle » (MITM)
Lors de son inscription sur N26, l’utilisateur doit renseigner son numéro de smartphone pour que les serveurs N26 puissent reconnaître le terminal. Sur l’appli N26, une authentification de l’utilisateur via une adresse mail et un mot de passe est nécessaire pour accéder au compte bancaire. Une double authentification par un code PIN à 4 chiffres est également requise.
Autrement dit, des règles de sécurité sont – au moins sur le papier – respectées. Evidemment pas pour un professionnel du piratage informatique…
Ainsi, c’est à l’occasion du Chaos Communication Congress (33C3) – rendez-vous annuel des hackers européens à Hambourg – que le chercheur en sécurité Vincent Hauper a pu démontrer qu’il était très facile et surtout très rapide de pirater l’appli.
Bien que le chiffrage des données soit assuré par le protocole HTTPS, « l’application ne vérifie pas les certificats des serveurs de N26 ». Du coup, c’est par l’utilisation de faux certificats que le pirate intercepte et redirige les échanges cryptés entre l’appli et les serveurs de N26. Cette technique de piratage est – assez logiquement – nommée « Man-In-the-middle » (Homme du milieu en français).
S’engouffrant dans cette brèche, le pirate peut alors prendre le contrôle de l’API N26 et procéder à la modification des ordres de virement en temps réel, via le réseau wifi de l’utilisateur.
Pour l’explication intégrale, regardez l’intervention de Vincent Hauper :
Contactée par Vincent Hauper, la néobanque a réagi rapidement en appliquant des correctifs et en réduisant notamment le volume d’informations disponibles via l’API.
Les conseils de N26 sur la sécurité des comptes
Pour l’occasion, N26 délivre quelques conseils de sécurité à ses clients :
- Assurez-vous de toujours mettre à jour l’application N26 vers la dernière version disponible pour votre smartphone
- Ne divulguez pas vos informations d’identification, telles que votre mot de passe, le code de votre carte et votre code PIN
- Méfiez-vous d’éventuels faux mails : N26 précise qu’une combinaison de votre mot de passe et de votre PIN, que ce soit dans un e-mail, l’application N26, ou sur le téléphone ou le chat, ne vous sera jamais demandée
- Enfin, N26 a mis en place un e-mail dédié pour permettre aux clients de signaler les vulnérabilités de sécurité générale suspectées : security@n26.com.
Rassurez-vous, en tant que client de N26, vous n’avez aucune action supplémentaire à effectuer pour sécuriser votre compte.