Banque en ligne N26 : un spécialiste de cybersécurité est parvenu à la pirater

Lors du Chaos Communication Congress, l’intervention du chercheur en sécurité informatique, Vincent Haupert, a révélé des vulnérabilités qu’il a identifiées dans les services de la banque N26. Il a réussi à pirater l’application mobile du groupe et a pu effectuer des transactions. Ces défaillances ont été réparées rapidement par l’enseigne depuis.

Un piratage en seulement 5 minutes

La 33e édition de la conférence annuelle réunissant des experts en cybersécurité à Hambourg a surpris par diverses révélations de failles. Lors d’un atelier, Vincent Haupert a démontré le faible niveau de défaillances des services de la banque en ligne. Sur son site, l’enseigne assure aux utilisateurs une inscription en huit minutes. Mais curieusement, à travers son application mobile, il a fallu seulement cinq minutes au chercheur pour pirater un compte N26. En un rien de temps, il a donc réussi à mettre la main sur les données sensibles d’utilisateurs.

 

Cependant, au premier abord, tout est bien conforme aux règles de cybersécurité: pour accéder aux comptes bancaires, chaque client doit s’authentifier sur l’application via une adresse mail et un mot de passe. De plus, il procède à une double authentification grâce à un code PIN à 4 chiffres fourni. Lors de son inscription également, l’usager devrait mentionner son numéro de téléphone pour la reconnaissance de son appareil. Cette combinaison s’effectue par l’envoi d’un token par SMS. Ainsi les serveurs de la banque seront en mesure de reconnaître le Smartphone.

Autres vulnérabilités de l’application mobile de N26

Voilà des vulnérabilités déjà dangereuses pour la société, mais le chercheur continue sa démonstration. En effet, d’après lui, l’application mobile de N26 sur iOS et sur Android présente d’autres vulnérabilités. Elle chiffre les données, mais cela sans passer par la vérification des certificats des serveurs de N26. Ainsi un hacker n’a qu’à se servir des faux certificats pour avoir à sa disposition le trafic entre les serveurs de la banque et l’application. Une fois en position d’intermédiaire, le chercheur a pu mettre la main sur l’API N26 et changer des ordres de virement en temps réel, avec le réseau WiFi du client.

Pour s’approprier des identifiants de l’utilisateur, le spécialiste a adopté la technique du spear phishing. Encore une fois, ceci donne la possibilité de télécharger des contacts dans l’application. Il a donc exploité la base de données dérobée à Dropbox pour réaliser son attaque. Au final, il a identifié 33 000 clients de N26. Ainsi il aurait pu transmettre des courriels ciblés assortis de liens malveillants entrainant de procéder au changement de mot de passe. En recueillant ces données, il sera alors facile d’appairer un autre appareil.

 

La banque N26 s’aperçoit des avantages du Bug Bounty

Une fois les identifiants en main, le chercheur est en mesure de passer des ordres de paiement directement depuis l’assistant vocal d’Apple Siri. Lors de son test d’attaque, il a pu effectuer mille mini transferts en une demi-heure sans être repéré par les algorithmes antifraude de N26.

Par ailleurs, les échanges via l’API comprenaient aussi des références de cartes bancaires Mastercard avec une authentification de code à quatre chiffres pour les transferts d’argent. Avisée par l’expert, cette banque en ligne d’origine allemande a bouché au plus vite les vulnérabilités évoquées.  Elle lance même un programme de recherche de bug Bounty sur les applications iOS, Android et sur les sites du groupe. En même temps, N26 s’engager à accorder une subvention de 5000 euros pour deux thèses sur la sécurité informatique.