{"id":16052,"date":"2020-12-02T16:37:06","date_gmt":"2020-12-02T16:37:06","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16052"},"modified":"2020-12-02T16:37:06","modified_gmt":"2020-12-02T16:37:06","slug":"security-tips-for-trading-platforms","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/security-tips-for-trading-platforms\/16052\/","title":{"rendered":"Manuel de s\u00e9curit\u00e9 pour les FinTech"},"content":{"rendered":"

En 2019, les march\u00e9s boursiers mondiaux ont connu une croissance de 17 mille milliards de dollars<\/a> et m\u00eame si tous les march\u00e9s sont mis \u00e0 mal par la pand\u00e9mie (c\u2019est le moins que l\u2019on puisse dire), les investissements int\u00e9ressent toujours autant. Depuis d\u00e9but 2020, le nombre d\u2019utilisateurs d\u2019applications d\u2019investissements boursiers ne cesse d\u2019augmenter<\/a>.<\/p>\n

En revanche, les actifs et les donn\u00e9es personnelles de ces traders \u00e9lectroniques sont une proie facile pour les cybercriminels et, en cas d\u2019incidents, ce sont les op\u00e9rateurs de la plateforme qui doivent faire face aux cons\u00e9quences. Dans cet article, nous allons voir quelles sont les principales menaces que rencontrent les entreprises et comment elles arrivent \u00e0 en venir \u00e0 bout.<\/p>\n

Vuln\u00e9rabilit\u00e9s dans les applications<\/h2>\n

Tout comme n\u2019importe quel programme, les plateformes de courtage sont vuln\u00e9rables. En 2018, l\u2019expert en cybers\u00e9curit\u00e9 Alejandro Hernandez a trouv\u00e9 des failles dans 79 applications<\/a> de ce genre, d\u2019autant que certaines ne chiffraient pas les donn\u00e9es stock\u00e9es ou transmises (n\u2019importe qui pouvait les voir ou les modifier) et d\u2019autres ne d\u00e9connectaient pas automatiquement l\u2019utilisateur apr\u00e8s une certaine p\u00e9riode d\u2019inactivit\u00e9. Il y avait aussi des d\u00e9fauts de conception puisque les mots de passe faibles \u00e9taient accept\u00e9s.<\/p>\n

Un an plus tard, les analystes de ImmuniWeb ont effectu\u00e9 une \u00e9tude similaire<\/a> et en sont arriv\u00e9s \u00e0 une conclusion tout aussi n\u00e9gative. Sur les 100 d\u00e9veloppements de FinTech test\u00e9s, tous sont vuln\u00e9rables dans une certaine mesure. Des probl\u00e8mes ont \u00e9t\u00e9 trouv\u00e9s dans le site Web et les applications mobiles, avec de nombreux bugs qui proviennent des d\u00e9veloppements et des outils tiers utilis\u00e9s par les programmateurs. Certaines vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 corrig\u00e9es depuis longtemps mais les patchs n\u2019ont pas \u00e9t\u00e9 install\u00e9s. Un d\u2019entre eux a \u00e9t\u00e9 publi\u00e9 en 2012 mais les auteurs de l\u2019application de FinTech n\u2019ont jamais trouv\u00e9 le temps de l\u2019installer.<\/p>\n

Aussi s\u00fbr qu\u2019\u00e0 la nuit succ\u00e8de le jour, si un produit a des probl\u00e8mes de s\u00e9curit\u00e9 ils vont se savoir et peuvent porter pr\u00e9judice \u00e0 la r\u00e9putation de l\u2019entreprise voire effrayer les clients. Si \u00e0 cause d\u2019un bug de l\u2019application les utilisateurs sont victimes d\u2019une fuite de donn\u00e9es ou de pertes financi\u00e8res, le d\u00e9veloppeur pourrait recevoir une lourde amende ou \u00eatre oblig\u00e9 de d\u00e9dommager les victimes.<\/p>\n

Parfois, le cr\u00e9ateur de la plateforme est la seule victime. Par exemple, les auteurs de l\u2019application de courtage Robinhood n\u2019ont pas su d\u00e9tecter un bug<\/a> qui permettait aux utilisateurs premium d\u2019emprunter aupr\u00e8s de la plateforme des sommes aux montants illimit\u00e9s pour n\u00e9gocier les titres. Ainsi, un utilisateur a emprunt\u00e9 un million de dollars avec un d\u00e9p\u00f4t de seulement 4 000 dollars. Les traders l\u2019ont surnomm\u00e9 le \u00a0\u00bb\u00a0code de triche pour de l\u2019argent sans limites\u00a0\u00ab\u00a0.<\/p>\n

Pour \u00e9viter les pertes li\u00e9es aux bugs et aux vuln\u00e9rabilit\u00e9s, les codeurs des plateformes de courtage doivent prendre en compte la s\u00e9curit\u00e9 lors du d\u00e9veloppement et r\u00e9fl\u00e9chir \u00e0 l\u2019avance \u00e0 certains points tels que la d\u00e9connexion de l\u2019utilisateur, le chiffrement et l\u2019obligation de choisir un mot de passe complexe. Ils devraient aussi revoir r\u00e9guli\u00e8rement le code pour d\u00e9tecter les erreurs et les corriger rapidement.<\/p>\n

Attaques de la cha\u00eene d\u2019approvisionnement<\/h2>\n

Pour \u00e9conomiser du temps et de l\u2019argent, la plupart des entreprises \u00e9crivent elles-m\u00eames leur code mais ont aussi recours \u00e0 des d\u00e9veloppements, des cadres et des services tiers. Si l\u2019infrastructure d\u2019un fournisseur est en danger, les entreprises qui l\u2019utilisent peuvent aussi en p\u00e2tir.<\/p>\n

C\u2019est ce qui est arriv\u00e9 au courtier Pepperstone<\/a>. En ao\u00fbt 2020, les cybercriminels ont infect\u00e9 les ordinateurs d\u2019une entreprise contractuelle et ont eu acc\u00e8s aux comptes du syst\u00e8me CRM de Pepperstone. M\u00eame si cette entr\u00e9e par effraction a rapidement \u00e9t\u00e9 contr\u00f4l\u00e9e, les pirates informatiques ont eu le temps de voler certaines donn\u00e9es clients. L\u2019entreprise a d\u00e9clar\u00e9 que ses syst\u00e8mes financiers et de courtage n\u2019avaient pas \u00e9t\u00e9 affect\u00e9s. N\u2019oubliez pas tout de m\u00eame que les fuites de donn\u00e9es peuvent co\u00fbter tr\u00e8s cher aux entreprises<\/a>, m\u00eame si le responsable est un code tiers.<\/p>\n

Afin d\u2019\u00e9viter d\u2019\u00e9ventuels d\u00e9g\u00e2ts, choisissez toujours des partenaires fiables qui prennent en compte la s\u00e9curit\u00e9 et ne faites pas enti\u00e8rement confiance \u00e0 leurs m\u00e9canismes de protection. N\u2019importe quelle entreprise dans le domaine de la finance devrait adopter une politique de s\u00e9curit\u00e9 stricte.<\/p>\n

Spear phishing<\/h2>\n

Le facteur humain<\/a> est souvent \u00e0 l\u2019origine de cyber-incidents. C\u2019est pourquoi les cybercriminels se servent des employ\u00e9s pour acc\u00e9der aux infrastructures d\u2019une entreprise.<\/p>\n

C\u2019est dans ce contexte qu\u2019en juillet de cette ann\u00e9e des chercheurs en cybers\u00e9curit\u00e9 ont fait le lien entre toute une s\u00e9rie d\u2019attaques qui s\u2019en prenaient \u00e0 des FinTech en Europe, au Royaume-Uni, au Canada et en Australie, et le groupe d\u2019APT Evilnum<\/a>. Les cybercriminels envoyaient des e-mails au personnel de l\u2019entreprise avec le lien d\u2019une archive ZIP h\u00e9berg\u00e9e dans un service Cloud l\u00e9gitime. Les messages se disaient professionnels et l\u2019archive semblait contenir des documents ou des images. M\u00eame si le document ou l\u2019image promis s\u2019affichait sur l\u2019\u00e9cran, la simple ouverture du fichier faisait entrer la cha\u00eene d\u2019infection en action.<\/p>\n

Les cybercriminels arrivaient parfois \u00e0 acc\u00e9der aux comptes professionnels des adresses e-mail ce qui rend l\u2019hame\u00e7onnage encore plus convaincant. L\u2019entreprise de trading Virtu a \u00e9t\u00e9 victime d\u2019une attaque de ce genre en ao\u00fbt de cette ann\u00e9e. Selon les repr\u00e9sentants de l\u2019entreprise, les cybercriminels se sont faufil\u00e9s dans la bo\u00eete de r\u00e9ception d\u2019un cadre sup\u00e9rieur<\/a> et ont envoy\u00e9 des e-mails pendant deux semaines au service de comptabilit\u00e9 pour faire des virements de sommes importantes vers la Chine. Cette confiance aveugle a co\u00fbt\u00e9 11 millions de dollars \u00e0 l\u2019entreprise.<\/p>\n\n

Probl\u00e8mes du c\u00f4t\u00e9 du client<\/h2>\n

Parfois, les utilisateurs perdent de l\u2019argent et ce n\u2019est pas la faute de l\u2019entreprise ni de l\u2019application. Il suffit de t\u00e9l\u00e9charger un malware, de saisir le mot de passe sur un site d\u2019hame\u00e7onnage ou de commettre un acte irresponsable. Malheureusement, m\u00eame dans cette situation l\u2019utilisateur pourrait engager des poursuites contre la plateforme de courtage. Dans certains pays, les entreprises sont juridiquement tenues de d\u00e9couvrir ce qui s\u2019est pass\u00e9 donc il vaut mieux avertir de temps en temps les utilisateurs des \u00e9ventuels dangers et leur demander de se prot\u00e9ger (et donc de vous prot\u00e9ger).<\/p>\n

Il est \u00e9galement conseill\u00e9 de rappeler r\u00e9guli\u00e8rement \u00e0 vos clients que tout programme tiers, surtout s\u2019il est pirat\u00e9 ou t\u00e9l\u00e9charg\u00e9 depuis une source douteuse, peut \u00eatre une menace. Par exemple, il pourrait voler vos mots de passe, y compris ceux de vos comptes de courtage.<\/p>\n

Avertissez vos clients que les cybercriminels peuvent se faire passer pour vos services afin d\u2019obtenir leurs identifiants. Conseillez-leur de lire attentivement les e-mails qui mentionnent certains probl\u00e8mes avec le service et de v\u00e9rifier minutieusement l\u2019adresse de l\u2019exp\u00e9diteur et le corps du message pour voir s\u2019il n\u2019y a pas des fautes de frappe ou de grammaire. Recommandez-leur de saisir manuellement l\u2019URL dans le navigateur, d\u2019ouvrir l\u2019application ou de contacter le service client en cas de doute.<\/p>\n

Comment prot\u00e9ger votre argent et votre r\u00e9putation<\/h2>\n

Les FinTech assument de grandes responsabilit\u00e9s lorsqu\u2019elles manipulent de l\u2019argent et n\u00e9gliger la s\u00e9curit\u00e9 pourrait leur co\u00fbter tr\u00e8s cher. Par cons\u00e9quent :<\/p>\n