Un demi-million de clients de Monzo, l’une des banques britanniques du secteur «challenger numérique», ont été invités à modifier leurs NIP après les avoir laissés dans un fichier vulnérable accessible par les ingénieurs de la société pendant plus de six mois.
Monzo, qui a annoncé la question dans un article de blog le 5 août 2019, a admis que 480 000 codes confidentiels de clients étaient théoriquement accessibles aux employés subalternes pendant des mois. Alors, qu’est-ce que cela signifie vraiment pour vous si vous possédez l’une des cartes bancaires rose vif de la société?
«La faille de sécurité des données de Monzo est interne», explique Guy Warren, directeur général du groupe ITRS, fournisseur de technologie pour 190 banques dans le monde entier. “Les ingénieurs en logiciels de Monzo ne s’attendent normalement pas à être en mesure de voir des données sensibles comme celle-ci, mais le défaut de conception leur a permis de le faire.”
Les codes PIN ont été conservés par erreur dans des fichiers journaux cryptés créés par des clients ayant utilisé deux services de la banque numérique: recevoir un rappel du numéro de leur carte et annuler une commande permanente. Environ un client sur cinq de Monzo avait utilisé l’un ou l’autre des services. Par conséquent, leurs codes confidentiels étaient détenus de manière peu sûre.
Dans le même temps, Monzo a déployé une nouvelle version de son application pour corriger le «bogue» dans leur système. La société a insisté sur le fait que les codes confidentiels étaient cryptés, mais Marios Kyriacou, fondateur du cabinet de conseil en cybersécurité The Security Bureau, a déclaré qu ’« à ce stade, nous ne savons pas ce que signifie “crypté”. Étant donné que les codes confidentiels sont composés de quatre chiffres, il ne serait pas difficile de les déchiffrer et de déterminer leur véritable statut. »On estime également que 110 ingénieurs ont eu accès à ces données, ce qui, selon M. Kyriacou, laisse perplexe. pourquoi autant d’employés de Monzo auraient besoin d’un tel accès et si leurs procédures de sécurité internes sont à la hauteur.
«C’est assez embarrassant, car c’est une institution financière, l’une de ces nouvelles banques numériques», déclare Graham Cluley, expert en cybersécurité. “Ce n’est pas le genre de chose que vous voulez demander à vos clients – de changer leur code PIN.”
Warren affirme que le problème fondamental est de fournir trop d’accès à un fichier particulier à trop de personnes. «C’était un défaut de conception lors de la construction de l’application. Ces données ne doivent pas avoir été stockées dans un fichier journal. L’examen de la conception aurait dû prendre cela en compte avant de construire. »Et Monzo n’aurait peut-être même pas su que quelque chose sur les autorisations réseau ou le contrôle d’accès de l’entreprise s’était mal passé et donnait à trop de gens l’accès à des données sensibles.
Les clients concernés devront se rendre à un guichet automatique pour modifier leur code PIN. La banque assure les clients qu’il n’y a pas eu de fraude sur leurs comptes. La société a clairement indiqué que, à sa connaissance, personne en dehors de Monzo n’avait accès aux codes confidentiels et que personne n’avait perdu d’argent sur son compte. Ils n’ont pas été piratés et les données ne semblent pas s’être étendues au-delà de Monzo. Pour cette raison, il n’y a aucune raison pour que les gens s’inquiètent en se basant sur les preuves actuelles.
Bien que la banque n’ait pas expliqué comment le problème s’était produit, tous les processus d’un système bancaire électronique doivent être codés à un moment donné – et il semble qu’il s’agisse d’une simple erreur humaine. «Nous sommes tous capables de commettre des erreurs», déclare Cluley. «Vous pouvez patcher un système d’exploitation mais vous ne pouvez pas patcher le cerveau des gens. Les informaticiens commettront des erreurs lors de la configuration des systèmes. Vous n’avez qu’à cliquer sur le mauvais bouton ou à oublier de désélectionner quelque chose et trop de personnes peuvent avoir accès à une donnée particulière. ”
Bien que la société ait eu du mal à dire qu’elle n’avait pas observé de comportement frauduleux, demander aux utilisateurs de changer leur code PIN est toujours la bonne chose à faire, dit Cluley. Ce n’est pas parce que les comptes présentent un risque de fraude plus élevé en soi, mais au cas où le fichier erroné contenant les NIP aurait été créé accidentellement en dehors du siège social de Monzo. Ce serait un problème, non pas nécessairement parce que les comptes bancaires de Monzo seraient en danger – la société surveillera probablement les mouvements entrants et sortants des comptes des clients concernés – mais parce que d’autres comptes détenus par les mêmes clients auprès d’autres banques pourrait être.
La raison en est notre volonté de dupliquer les codes confidentiels d’un compte à l’autre. «Vous constatez une forte prépondérance des codes PIN commençant par« 19 »et la raison en est que les gens utiliseront leur année de naissance», explique Cluley. C’est une mauvaise pratique de sécurité de l’information. “Vous devez choisir le code PIN de manière aussi aléatoire que le choix du mot de passe.”
Pour en savoir plus:
https://newstrotteur.fr/2019/08/06/faille-de-securite-de-monzo-a-explique/