Blog OneSpan

Sécurité des paiements numériques : Quand la sécurité mobile compte

Sécurité - Sécurité des applications mobiles Cybersécurité et authentification forte
Ralitsa Miteva,
1359176615_yellow_lock_800x600

Il est essentiel de mettre en œuvre des mesures de sécurité solides sur le canal mobile, car les clients numériques constituent aujourd'hui la première surface d'attaque, et le mobile est leur méthode de paiement numérique préférée pour les transactions en ligne. Le nombre de consommateurs effectuant des paiements mobiles avant la pandémie était d'environ 900 millions, et il est passé à environ 1,48 milliard d'utilisateurs pour les paiements en ligne en 2020. Les applications mobiles sont constamment exposées à des risques et il est difficile d'assurer la sécurité des utilisateurs finaux. L'identification des fausses applications et des applications infectées est un défi, même pour les magasins d'applications qui disposent de vastes laboratoires de test, comme Apple et Google. Récemment, des applications infectées par Joker, un logiciel malveillant spécialisé dans la fraude par SMS et utilisé pour voler des messages texte et des informations sur les appareils, ont été retirées du Google Play Store. Même après cela, les applications concernées étaient toujours disponibles sur d'autres boutiques moins protégées. En fait, il existe aujourd'hui plus de 300 boutiques d'applications dans le monde, ce qui offre aux fraudeurs, aux pirates et aux cybercriminels de nombreuses possibilités de tromper des clients peu méfiants et non protégés en les incitant à télécharger des applications malveillantes sur leurs appareils mobiles.

Selon HelpNet Security, 77 % des applications mobiles financières présentent au moins une vulnérabilité grave qui pourrait entraîner une violation de données, 81 % des applications financières laissent échapper des données et 49 % des applications de paiement sont vulnérables à l'extraction de clés de chiffrement.

En début d'année, la commission judiciaire du Sénat américain a approuvé le projet de loi S.2710 intitulé "Open App Markets Act" (loi sur l'ouverture des marchés des applications). Le catalyseur de ce projet de loi est constitué par les taux de commission élevés des magasins d'applications iOS et Android, allant jusqu'à 30 % sur les achats in-app, combinés aux contraintes qu'ils appliquent pour empêcher ou décourager l'installation d'applications en dehors de leurs magasins. L'objectif de l'Open App Markets Act est de permettre aux développeurs d'atteindre leurs clients sans le contrôle des grands acteurs qui possèdent les magasins d'applications propriétaires et les systèmes d'exploitation sous-jacents. La loi permettrait aux utilisateurs de télécharger et d'exécuter des applications provenant d'autres magasins d'applications.

EnEurope, les grandes plateformes technologiques qui agissent comme des "gardiens" dans le secteur numérique seront contraintes par un document récemment publié par la Commission européenne, la loi sur les marchés numériques de l'Union européenne (DMA), de permettre aux utilisateurs finaux d'utiliser des magasins d'applications et des systèmes de paiement tiers.

Bien entendu, toutes ces initiatives réglementaires posent de sérieux problèmes de sécurité involontaires, car elles permettront aux clients de télécharger plus facilement de fausses applications ou des applications reconditionnées à partir de boutiques d'applications tierces, moins bien protégées.

Que signifie l'évolution de la réglementation et de la sécurité des paiements pour les développeurs d'applications ?

Si votre application utilise des données sensibles telles que des informations personnelles identifiables (PII), des paiements, des contrats intelligents, des métadonnées, des informations commerciales ou d'autres informations confidentielles comme des informations de carte de crédit ou un numéro de carte de paiement, vous devez vous assurer que vous avez mis en place une cybersécurité fiable telle que le blindage d'application. En particulier, si vous autorisez l'exécution d'applications sur des appareils jailbreakés ou rootés. Dans ce cas, vous devez vous assurer que les données sensibles sont stockées en toute sécurité sur l'appareil.

Les erreurs importantes à éviter lors de la création d'une application de paiement mobile

Une erreur courante que nous constatons est que de nombreuses applications sur le marché qui transportent des informations sensibles utilisent des techniques de renforcement du code inefficaces ou n'utilisent pas du tout ces techniques.

  • Par exemple, la technique d'obscurcissement souvent utilisée est un simple renommage d'étiquette de variable. Par ailleurs, des méthodes plus efficaces pour empêcher l'analyse statique, telles que l'aplatissement de l'espace de noms et le remaniement du code, ne sont pas prises en compte. L'utilisation de techniques d'obscurcissement simples conduit à des applications qui peuvent faire l'objet d'une rétro-ingénierie et qui laissent l'application ouverte à une attaque par reconditionnement.
  • Ou encore, les données sensibles et les clés API de l'application ne sont pas chiffrées mais stockées en texte clair. Les données non protégées peuvent être facilement volées.
  • Une autre erreur consiste à chiffrer les données, mais à stocker les clés de chiffrement en texte clair/codé en dur dans le code source ou les actifs de l'application. Si vous laissez la clé de votre maison sous le paillasson, la porte ne sera plus protégée une fois que le paillasson sera soulevé.
  • Le canal de communication vers et depuis l'application n'est pas sécurisé. Dans ce cas, les détails de la transaction, tels que le numéro de compte du bénéficiaire et le montant du transfert, peuvent être falsifiés.

Un autre élément important est la protection de l'application en cours d'exécution. Si la protection statique est souvent mal comprise et mal mise en œuvre, dans de nombreux cas, cette couche n'est même pas prise en compte et est totalement absente.

  • Souvent, les développeurs n'ont que peu ou pas d'expertise interne en matière de détection des attaques d'exécution sur l'appareil et l'application.
  • Seules les attaques connues sont suivies et aucune méthode de détection des menaces inconnues n'est utilisée.
  • Même si une attaque est identifiée dans l'application, il se peut que rien ne permette de réagir efficacement ou de personnaliser la réaction.

Comment OneSpan peut vous aider à sécuriser les applications mobiles et les paiements numériques

Avec OneSpan Mobile Security Suite et App Shielding, vous pouvez protéger vos applications mobiles et les transactions numériques qu'elles effectuent avant même d'être téléchargées sur l'app store.

  • Si votre application mobile traite des données sensibles (par exemple, le traitement d'accords numériques, de paiements P2P ou de transferts bancaires), vous devez mettre en œuvre une protection efficace de sa logique commerciale, de ses secrets et de ses clés API. Nous assurons la protection des secrets et des informations personnelles grâce au stockage sécurisé. Si votre application stocke des données sensibles sur l'appareil, Secure Storage combine des éléments de sécurité logiciels et matériels pour garantir la sécurité des données. Pour accroître la résistance à l'ingénierie inverse, nous pouvons obscurcir votre application à l'aide de techniques avancées. En plus de l'obscurcissement, nous pouvons protéger efficacement votre application contre la falsification et le reconditionnement.
  • L'App shielding est un composant qui s'intègre de manière transparente dans les applications existantes afin de détecter, d'atténuer et de protéger contre les attaques en cours d'exécution, telles que l'injection de code, le débogage, l'émulation, le screen mirroring, l'app hooking et bien d'autres encore. L'application reste protégée même sur des appareils compromis et en cas d'attaques inconnues. Cette protection est également liée à votre application, de sorte que si elle se retrouve dans un magasin inconnu, la protection suivra. Nous pouvons également modifier dynamiquement l'écran de l'application mobile en fonction du risque ou même empêcher l'application de fonctionner.
  • Notre canal sécurisé garantit l'intégrité, la fraîcheur, l'authenticité et la confidentialité des données pour chaque communication entre le serveur et l'appareil.
  • OneSpan offre une variété de méthodes d'authentification forte avec des liens dynamiques et What You See Is What You Sign (WYSIWYS) pour prévenir l'ATO. Même les authentifications réussies sont analysées par des algorithmes d'apprentissage automatique afin de garantir l'authenticité de l'interaction.
  • Nous orchestrons les méthodes d'authentification disponibles, en fonction du niveau de risque ou des exigences des régulateurs locaux (par exemple, PSD2). Cela permet d'améliorer la sécurité et l'expérience des utilisateurs grâce à des méthodes conviviales, telles que la biométrie, le comportement, le cryptogramme graphique Cronto, FIDO, et bien d'autres encore.

Passez à l'étape suivante de la sécurité mobile dans les services financiers

Alors que le monde des affaires continue d'adopter la transformation numérique et les paiements sécurisés, le besoin d'une sécurité robuste et fiable pour les applications mobiles devient de plus en plus important. Les clients attendent des processus numériques sécurisés et des accords de confiance, ce qui se reflète à la fois dans le comportement des consommateurs, les initiatives des institutions financières et les réglementations visant à faciliter les paiements numériques et les solutions de paiement.

Blindage des applications mobiles
Livre blanc

Le blindage des applications mobiles : Comment réduire la fraude, économiser de l'argent et protéger les revenus

Découvrez comment le bouclier applicatif avec protection de l'exécution est essentiel pour développer une application bancaire mobile sécurisée et résiliente.

Télécharger maintenant
Ralitsa Miteva
Ralitsa Miteva

Ralitsa Miteva est responsable des solutions de détection et de prévention de la fraude chez OneSpan, où elle conseille les institutions financières et d'autres organisations sur l'évolution du paysage de la fraude et les aide à surmonter les nouveaux défis de la prévention lors de leur transformation numérique.

Haut de page
Partager