Startups de la Fintech et grandes banques en ligne n’offrent pas les niveaux de sécurité attendus selon une nouvelle étude publiée par ImmuniWeb.

Déjà, en juillet dernier, ImmuniWeb, un acteur de la sécurité du Web, pointait du doigt les défaillances des sites des grandes banques. Sur les 100 principales banques mondiales, 97 présentaient des vulnérabilités à des attaques Web ou mobiles. 37 d’entre elles souffraient de vulnérabilités importantes et connues. Pire encore, 85 sites de e-banking avaient échoué aux tests de conformité à la GDPR et 49 sites aux tests de conformité à la norme PCI-DSS. 25 sites de e-banking n’étaient même pas protégés par un pare-feu WAF (Web Application Firewall). Et, histoire de nous faire encore un peu plus peur, ImmuniWeb constatait que 92% des applications mobiles contenaient au moins un risque qualifié de « medium » et que 100% des banques en ligne conservaient actifs d’anciens sous-domaines « abandonnés » et présentant des trous de sécurité.

Sécurité des sites Web des 100 principales startups de la Fintech

Face à ce constat assez inquiétant, ImmuniWeb a étendu son étude non plus aux grandes banques mondiales, mais aux startups de la Fintech en s’appuyant sur la liste des jeunes pousses les plus importantes et les mieux financées publiées par CB Insights.
Et, sans grande surprise, elles ne font pas significativement mieux que les grandes banques : 100% ont des problèmes de sécurité, de confidentialité et de conformité liés aux applications Web, API et sous-domaines abandonnés ou oubliés, et 62% ont échoué aux tests de conformité PCI DSS !
Dans le détail, l’étude constate que 100% des applications mobiles produites par ces startups contiennent au moins une vulnérabilité d’un risque moyen, 97% présentent au moins deux vulnérabilités de risque moyen ou élevé. Et 56% des serveurs d’applications mobiles présentent d’importants problèmes de configuration ou de confidentialité liés à leur configuration des protocoles de chiffrement SSL/TLS.

Un manque de rigueur dans l’usage de l’open source

Les causes de ces failles de sécurité sont souvent identiques à celles rencontrées dans toutes les entreprises. Comme le soulignait le dernier rapport OSSRA 2019 de Synopsys, bien des sites et services sont rendus vulnérables par un manque de rigueur dans l’application des correctifs sur les codes open source utilisés. Le rapport révélait notamment que 60% des codes audités contenaient au moins une vulnérabilité d’un code en open source.
L’étude d’ImmuniWeb illustre une nouvelle fois ce manque de rigueur. Ainsi, l’un des sites Fintech présente une vulnérabilité XSS de jQuery 1.7.2 datant de 2012 ! De même, l’échec aux tests de conformité PCI DSS provient essentiellement d’une bibliothèque open source expirée largement employée par tous ces sites.
En outre, ces startups ne sont évidemment pas immunisées contre les attaques au phishing et au référencement menées par les cybercriminels. ImmuniWeb révèle ainsi que 90% de ces nouveau-nés de la Fintech sont victimes de cybersquatting (dépôts de noms de domaine correspondant à la marque pour tromper les utilisateurs ou faire du chantage à la marque) et 86% de Typosquatting (dépôts de noms de domaine proches du nom de la marque, mais basés sur des fautes de frappe classiques afin de tromper les utilisateurs et les rediriger vers des sites de phishing ou des pages infectées).

Tout n’est pas si noir cependant

Sécurité des sites Web : Grandes banques versus Startups de la Fintech

Certes, les résultats ne sont pas brillants, mais, au final, les startups de la Fintech ne font pas plus mal que les grandes banques. Elles font même un peu mieux si on ne tient pas compte de la quantité et de la complexité des systèmes informatiques gérés par les grandes banques. Ainsi, seules 64% de ces jeunes entreprises Fintech ont échoué aux tests de conformité à la GDPR. Et 95% des sites principaux de ces Fintech sont effectivement protégés par un WAF (même si 35% des sous-domaines souvent « abandonnés », mais toujours « actifs » ne le sont pas). De même, aucun des sites de e-banking de ces Fintech ne comportait de problèmes de sécurité SSL/TLS jugés « grave » alors que 8% des grandes banques étaient épinglées par l’étude publiée en juillet.

Des points positifs qui font dire à Ilia Kolochenko, PDG et fondateur d’ImmuniWeb, que « les chiffres de l’étude soulignent de manière positive un niveau décent de cybersécurité parmi les entreprises Fintech, mettant en évidence leur engagement et leur attention. » Voilà qui nous rassure… un peu.

Source : 
ImmuniWeb : State of Application Security at Top 100 Global Fintech Startups

A lire également : 
Trop de codes open source restent non patchés dans les entreprises