Comment pirater un compte bancaire sur mobile en quelques minutes

Attention, les services bancaires de nouvelle génération peuvent paraître pratiques, mais ils ne sont pas toujours très sécurisés. A l'occasion de la conférence "33C3 Chaos Communication Congress", qui se déroule actuellement à Hambourg, le chercheur en sécurité Vincent Haupert vient de montrer de nombreuses failles trouvées dans les services de N26, une nouvelle banque en ligne. Créée en 2013 à Berlin, cet établissement ne dispose d'aucune agence physique : tout se fait depuis l'application mobile, même la création de compte. Cette société dispose d'une licence bancaire européenne et propose actuellement ses services dans 17 pays, dont la France. Elle revendique plus de 200.000 clients.

Sur le papier, l'application mobile de N26 a l'air solide. Pour gérer son compte bancaire, il faut non seulement entrer un login et un mot de passe, mais aussi un code PIN. Par ailleurs, les transactions ne peuvent se faire que depuis le smartphone de l'utilisateur. En effet, au moment de l'inscription, l'utilisateur doit "appairer" son mobile. Ce processus cryptographique permet ensuite aux serveurs de N26 d'authentifier le terminal de manière sûre à chaque connexion. Mais en réalité, de nombreuses failles permettaient de contourner ces dispositifs de sécurité.

Identités non vérifiées

Ainsi, l'application mobile chiffrait tous les échanges en HTTPS, mais ne vérifiait pas l'identité des serveurs N26. Il était donc possible d'utiliser des faux certificats et d'intercepter le trafic et de réaliser des attaques de type "Man-in-the middle" (interception d'échanges cryptés entre deux personnes par un tiers) pour, par exemple, manipuler en temps réel les transactions. Le chercheur explique, par exemple, avoir pu multiplier par dix le montant d'un virement à la volée. Il suffisait pour cela d'être sur le même réseau Wi-Fi que la victime.

Puis, en analysant davantage l'application, le chercheur a remarqué qu'il suffisait de disposer du login et du mot de passe de la victime pour prendre le contrôle total du compte bancaire, en dépit du processus d'appairage et du code PIN. Or, récupérer un login et un mot de passe est à la portée de n'importe quel pirate : il suffit pour cela de faire du phishing en envoyant des emails piégés. Une fois récupérés le login et le mot de passe, la suite est plutôt simple. Une succession de failles de sécurité assez basiques permet alors au pirate d'annuler l'appairage de la victime et de le refaire depuis son propre terminal. Selon Vincent Haupert, ce hack se faisait en cinq minutes, top chrono.

Quant au code PIN, le pirate pouvait simplement le réinitialiser. En théorie, cela n'est possible qu'en connaissant un chiffre qui figure sur la carte MasterCard de la victime. Mais ce chiffre secret figure également… dans les échanges entre l'application mobile et les serveurs de N26. Il suffisait donc d'un peu de patience pour le récupérer au travers de l'attaque Man-in-the-middle citée plus haut.

Au final, l'architecture de sécurité de l'application N26 s'est effondrée tel un château de cartes, ce qui est plutôt troublant pour un acteur qui se targue d'incarner "la banque du futur". Vincent Haupert a alerté N26 en septembre 2016. Depuis, toutes ces failles ont heureusement été corrigées.