Attention, votre appli bancaire est (très probablement) une véritable cyber-passoire !

Aujourd’hui, les Français raffolent de leur appli bancaire qui figure parmi les trois applications mobiles incontournables des smartphones pour suivre leurs comptes ou faire des virements. Selon l’institut OpinionWay, l’ouvrir dès le matin serait même le premier geste de près d’un quart de nos concitoyens. Et pourtant, ce geste est loin d’être le plus sécurisé.

D’après une étude réalisée par Pradeo, spécialiste de la sécurisation des applis et terminaux mobiles (smartphones, tablettes, objets connectés), si les sites internet bancaires sont hautement sécurisés, les applis mobiles des banques le seraient nettement moins. 

"Initialement, il s’agissait d’une demande d’un client pour tester le niveau de protection de son application bancaire", nous explique Clément Saad, fondateur et président de Pradeo. "Nous avons constaté que nous pouvions mettre à mal sa protection sans trop de difficulté." Un constat alarmant pour la société qui étend alors ses tests de vulnérabilité. Pradeo passe alors au crible les applis de 50 banques du Top 100 mondial. Et le constat est sans appel : aucune n’a résisté au test de vulnérabilité de sa sécurité.

"Nous ne nous sommes pas contentés de démontrer la vulnérabilité de chacune de ces applications face à un simple keylogger (un logiciel espion qui enregistre votre frappe, ndlr), mais bien leur défaillance à l’épreuve de plus d’une vingtaine de menaces. Pas une banque n’a réussi notre examen, et la moyenne des techniques ayant fonctionné est de sept par application bancaire", ajoute Clément Saad. Il est alors possible pour un cybercriminel de s’emparer de vos identifiants, d’espionner vos comptes, de récupérer des codes de transaction, etc. 

Pour les spécialistes en cybersécurité de Pradeo, pas besoin d’être un expert en informatique aguerri pour profiter des failles des applis bancaires. "C’est à la portée de n’importe quel bidouilleur de base", souligne Clément Saad. Faut-il alors cesser d’utiliser son appli bancaire ? "Nous voulons juste alerter les banques sur le niveau inquiétant de la sécurité de leur appli, pas empêcher les clients de s’en servir", prévient-il sans jeter l’opprobre sur celles-ci. "Elles doivent redoubler d’effort pour sécuriser leurs applications et que ce soit transparent pour l’utilisateur."

Alors que 71% des utilisateurs de services bancaires mobiles se disent "confiants" quant à la sécurité de leurs informations, ils ne sont pourtant pas loin de 500 millions dans le monde à mettre leurs données en péril. Parmi eux, les clients de trois grandes banques françaises. "Notre étude s’est limitée à 50 banques. Il y a fort à parier que les autres établissements bancaires soient également concernés et que par conséquent, le nombre d’utilisateurs impactés soit bien plus important", rappelle Clément Saad. "Le monde des applications mobiles est relativement jeune comparativement au web. Il est normal que les banques mettent plus de temps pour mieux appréhender ce nouvel environnement et les menaces liées", conclut-il.

Si les smartphones et tablettes sous Android sont les plus vulnérables, les iPhone et iPad ne sont pas épargnés.

Selon Pradeo, c’est avant tout "l’environnement" de l’application bancaire qui est dangereuse. Les risques pour les utilisateurs viennent généralement d’autres applications téléchargées et installées qui peuvent contenir des malwares (logiciels malveillants tentant d’infecter l’appareil voire d’en prendre le contrôle). Ce n’est jamais l’appli bancaire en elle-même qui est en cause. Ainsi, le jeu Pokémon Go, ou plutôt ses versions dérivées pirates qui étaient proposées en téléchargement sur des sites hors store (notamment avant le lancement dans différents pays), a été utilisé pour distiller des malwares.

Pour les utilisateurs, il faut éviter de télécharger des applications en dehors des stores officiels (AppStore d’Apple, Google Play Store, Windows Store). Il faut aussi vérifier les informations qui vous sont demandées par les applis. Une appli de jeu n’a aucune raison de vous demander vos informations personnelles ou bancaires, votre géolocalisation, etc. Pradeo avait ainsi soulevé le problème de l’application Angry Birds qui récupérait la géolocalisation des joueurs et envoyait les informations vers la NSA. "Il faut se méfier de ce genre de demande et couper les autorisations. Si cela n’est pas possible, il vaut mieux désinstaller l’appli", conseille le président de Pradeo.

Evitez aussi de jailbreaker votre smartphone (débrider la sécurité initiale de l’appareil). "Si cela vous donne plus de droits, cela en offre aussi davantage aux pirates", avertit Clément Saad.