Créée en avril 2001, la Sony Bank est une banque directe japonaise qui "fournit des produits et des services financiers de haute qualité, orientés vers le client, à des particuliers sur Internet" Sony Bank propose des dépôts en devises locales et étrangères, des investissements et des prêts hypothécaires via des canaux en ligne, ainsi qu'une application de banque mobile pour les transactions bancaires quotidiennes.

Sony Bank a commencé son parcours de sécurité avec OneSpan en introduisant les tokens matériels Digipass® car, à l'époque, on craignait encore que des cybercriminels prennent le contrôle d'un appareil mobile sur lequel un token logiciel était installé. En 2012, la banque a déployé les authentifiants Digipass GO7 pour remplacer les mots de passe statiques. À l'époque, les clients des banques japonaises étaient déjà très conscients de la nécessité d'une authentification à deux facteurs et d'autres mesures de sécurité pour se protéger contre les attaques des banques en ligne qui pourraient conduire à la prise de contrôle des comptes.

Sony Bank est devenue la première banque numérique japonaise à mettre en œuvre la technologie du mot de passe à usage unique (OTP) de OneSpan. Aujourd'hui, nombre de ses clients reconnaissent l'importance d'utiliser des mots de passe à usage unique et s'appuient sur les dispositifs Digipass pour protéger leurs comptes.

La banque mobile exige de nouvelles mesures de sécurité

En 2019, Sony Bank a lancé l'application Sony Bank. Selon M. Shuichiro Sumimoto, directeur principal du département de planification des systèmes, la banque a introduit cette nouvelle application mobile pour suivre le rythme de l'adoption généralisée des appareils mobiles et de la tendance à l'ouverture des services bancaires et des API ouvertes. Mais surtout, en raison de l'émergence de solutions de sécurité mobile robustes sur le marché. La capacité de sécuriser entièrement l'application Sony Bank a donné à la banque la confiance nécessaire pour aller de l'avant avec de nouveaux services mobiles.

Suite de sécurité mobile

Sony Bank a intégré la Mobile Security Suite de OneSpan (anciennement DIGIPASS for Apps). Il s'agit d'un ensemble de SDK mobiles permettant d'intégrer le blindage des applications avec la protection de l'exécution, l'authentification biométrique, la signature des transactions, etc. Il fournit des fonctions de sécurité complètes requises pour les transactions mobiles, y compris la protection contre les transferts d'argent non autorisés, l'authentification multifactorielle et la protection contre les attaques sur l'application au moment de l'exécution.

En mettant en œuvre le SDK Mobile Security Suite pour l'authentification biométrique, les clients peuvent se connecter à l'application en utilisant la méthode d'authentification biométrique prise en charge par leur smartphone. L'authentification biométrique est vérifiée dans l'appareil client et, une fois l'authentification biométrique terminée sur l'appareil, la Mobile Security Suite de OneSpan est conçue pour relier automatiquement des nombres aléatoires dynamiques au serveur.

Le choix de OneSpan pour l'authentification mobile a apporté un avantage supplémentaire. Comme la banque utilisait déjà le OneSpan Authentication Server Framework (anciennement VACMAN Controller) pour ses authentificateurs matériels, elle a pu économiser des coûts de développement en tirant parti de son investissement serveur existant pour prendre en charge la nouvelle méthode d'authentification logicielle.

Grâce à ces mesures de sécurité et à l'authentification multifactorielle, Sony Bank a protégé son application contre les attaques, tout en simplifiant l'expérience de l'utilisateur. La banque peut ainsi proposer les méthodes d'authentification les plus pratiques, telles que la reconnaissance faciale et la reconnaissance des empreintes digitales, et offrir une expérience utilisateur transparente.

Bouclier de l'application mobile

La banque a intégré un bouclier d'application avec une protection d'exécution pour protéger l'application Sony Bank.

"Les services bancaires mobiles nous permettent de profiter de nombreux avantages, mais ils augmentent également le risque d'exposition d'informations confidentielles. Les cybercriminels tentent constamment d'exploiter les vulnérabilités des utilisateurs, des systèmes d'exploitation et des appareils ", explique M. Shuichiro Sumimoto. "C'est pourquoi nous avons choisi OneSpan. Après notre évaluation, nous avons jugé que la Mobile Security Suite pouvait nous apporter la sécurité dont nous avons besoin, tout en garantissant à nos clients une expérience pratique."

L'intégration d'un bouclier applicatif :

• Protège l'application mobile en empêchant les techniques de rétro-ingénierie grâce à l'obscurcissement du code et à la technologie anti-repackaging
• Détecte activement les menaces telles que l'enregistrement de frappe malveillant, les lecteurs d'écran, les débogueurs, les émulateurs et les attaques par superposition
• Permet à l'application de se défendre de manière proactive si une attaque ou une infection malveillante est détectée, voire de s'arrêter elle-même (en fonction de la politique de sécurité du propriétaire de l'application)

La banque a pu intégrer efficacement la sécurité mobile avec un minimum de ressources de développement. Au sein du département Développement des systèmes, Mme Kahori Kusunoki, chef de projet, estime que la simplicité de la mise en œuvre du bouclier applicatif est impressionnante.

"La fonction de protection des applications est très facile à mettre en œuvre et à utiliser. Nous pouvons protéger l'application cible en sélectionnant simplement la fonction que je veux utiliser à partir de la console de gestion. C'est aussi simple que de sélectionner on/off"

Pour la mise en œuvre du bouclier applicatif, OneSpan a invité un formateur à organiser une session spécialisée sur les caractéristiques du produit et les points de mise en œuvre. Mme Kusunoki déclare : "La formation dispensée par OneSpan et l'examen du code source par des membres techniques nous ont aidés à mettre en œuvre rapidement et complètement les aspects que je trouvais difficiles à l'origine. Le traitement des séquences avec des fonctions de haute sécurité telles que l'activation, etc., a également pu être développé beaucoup plus efficacement qu'en interne, en utilisant l'exemple de code fourni

Fonctionnalité de signature des transactions

Comme l'explique M. Sumimoto, la fonctionnalité de signature des transactions était indispensable pour la nouvelle application. L'application Sony Bank devait être à la fois conviviale et solidement sécurisée afin de permettre aux clients de transférer des fonds et d'effectuer des transactions en devises étrangères en toute sécurité, en les protégeant contre les attaques de type "Man-in-the-Middle" (MitM). Dans un scénario MitM, un acteur malveillant intercepte la communication entre le client et le serveur bancaire et modifie les détails de la transaction sans que le véritable payeur s'en aperçoive.

"Le jeton matériel est clairement protégé des logiciels malveillants, mais dans le cas du logiciel, il s'agit d'un environnement où il peut coexister avec des logiciels malveillants sur l'appareil. Comme pour les PC, nous devions sécuriser les smartphones contre les logiciels malveillants et empêcher les transferts d'argent non autorisés. Le concept de la Mobile Security Suite de OneSpan, qui consiste à protéger de manière globale les transactions mobiles, ainsi que l'appareil et l'application elle-même, correspondait à nos besoins", explique M. Sumimoto.

Conclusion

Depuis son lancement, l'application Sony Bank a été très bien notée par les clients. Ce succès est en partie dû aux mesures de sécurité qui protègent les utilisateurs mobiles, leurs appareils et leurs transactions. Sony Bank entretient un partenariat de confiance avec OneSpan depuis des années. L'équipe de Sony Bank connaissait de première main la qualité et l'assistance fournies par OneSpan, ce qui lui a donné la confiance nécessaire pour aller de l'avant avec cette approche innovante et holistique de la sécurité mobile.

Chez OneSpan, nous comprenons que les banques ont des besoins et des exigences de sécurité uniques en ce qui concerne le canal mobile. Pour en savoir plus sur la façon dont vous pouvez bénéficier des mêmes meilleures pratiques et technologies que Sony Bank, visitez onespan.com/products/mobile-security-suite.