Video is not available!

Blog
L'application SwissBorg jugée hautement sécurisée lors du test d'intrusion
Penetration testing on SwissBorg app

MAY 31, 2021

L'application SwissBorg jugée hautement sécurisée lors du test d'intrusion

Nicolas Rémond

Chief Technology Officer

Chez SwissBorg, la sécurité des fonds et des données de notre communauté est notre priorité absolue. C'est pourquoi nous avons demandé à l'un des fournisseurs de sécurité des systèmes d'information les plus réputés de Suisse, d'effectuer des tests d'intrusion sur l'application SwissBorg.

De la même manière que l'on fait un bilan de santé régulier chez le médecin, on se doit de faire régulièrement un test sur nos produits pour verifier que certains points n'ont pas été négligés. Une équipe d'auditeurs chevronnés a été chargée de trouver les points de faiblesses dans notre système de sécurité et, après leur audit de huit jours, ils ont conclu que « les applications mobiles de SwissBorg ont un niveau de sécurité élevé ».

Vous pouvez lire le rapport ici.

L'approche de SwissBorg en matière de sécurité

L'application SwissBorg exploite les capacités des smartphones modernes en créant une clé privée cryptographique générée dans une enclave sécurisée du téléphone. Cela nous permet d'avoir une sécurité beaucoup plus sophistiquée par rapport aux applications traditionnelles ou applications Web.

Une question commune à propos de la sécurité de notre application concerne l'authentification à deux facteurs (2FA). Beaucoup d'entre nous ont une application 2FA (par exemple: Google Authenticator) sur le même téléphone utilisé pour l'application SwissBorg. En tant que tel, si un attaquant a accès au téléphone d'un utilisateur et au code d'accès requis pour le déverrouiller, l'attaquant serait également en mesure de rechercher le code 2FA pour accéder aux applications sur ce téléphone. Pour cette raison, l'ajout de 2FA permettrait de créer un faux sentiment de sécurité pour les utilisateurs, plutôt que de rendre l'application plus sécurisée.

Nous allons envisager d'ajouter à l'avenir une fonction 2FA ou bien une application spéciale comme 1password pour les utilisateurs avancés qui utiliseraient deux téléphones, mais nous allons d'abord travailler à l'amélioration de la sécurité de tous.

Les résultats du test d'intrusion

Les tests d'intrusion, également appelés "pen tests", sont des cyberattaques simulées sur un système pour en vérifier les vulnérabilités. En ce qui concerne l'application SwissBorg, l'auditeur a testé à quel point il serait facile pour les comptes de nos utilisateurs d'être abusés par des attaquants.

L'auditeur a effectué huit jours de test d'intrusion sur les versions iOS et Android de l'application SwissBorg.

Nous sommes fiers de vous annoncer que l'application SwissBorg a réussi les tests d'intrusion haut la main ! Aucune vulnérabilité élevée ou critique n'a été trouvée, et l'auditeur a conclu que les appareils protégés (par un mot de passe ou TouchID) n'étaient compromis dans aucun des principaux objectifs de sécurité.

Pour les lecteurs intéressés par les détails techniques, ces objectifs comprenaient:

  • Exécution de codes arbitraires dans l'application
  • Accès/modification des fichiers dans l'application à partir d'une autre application
  • Exécution des commandes arbitraires sur le back-end
  • Piratage des flux d'exécution de l'application
  • Contournement de l'authentification locale et accéder au compte d'un utilisateur
  • Extraction d'informations sensibles sur un smartphone compromis

Quatre vulnérabilités mineures ont été trouvées, dont deux ont déjà été corrigées par notre équipe technique.

Les deux vulnérabilités restantes ne s'appliquent que dans les cas où un attaquant a un accès illimité au téléphone d'un utilisateur (ce qui signifie qu'il a physiquement pris le téléphone et contourné la sécurité de l'appareil). Dans cette optique, il est hautement improbable qu'elles soient exploitées. Cependant, dans le cadre de notre engagement à garantir que notre application est aussi sécurisée que possible, notre équipe d'ingénieurs s'occupera de ces vulnérabilités en ajoutant à l'application une validation côté serveur du code PIN.

Comment les utilisateurs peuvent améliorer leur sécurité

Bien que l'application SwissBorg ait été jugée hautement sécurisée, les utilisateurs peuvent prendre plusieurs mesures pour renforcer la sécurité de leur patrimoine et de leurs données. Voici quelques exemples:

  1. Sécurisez votre appareil avec un mot de passe ou TouchID pour empêcher tout accès non autorisé à vos applications.
  2. Ne cliquez pas sur les liens dans les e-mails de personnes en qui vous n'avez pas confiance. Vérifiez également l'adresse e-mail de l'expéditeur pour vous assurer que l'e-mail provient bien de la personne dont il est dit qu'il provient.
  3. Ne partagez jamais vos informations personnelles. Lorsque vous êtes contacté par quelqu'un que ce soit par téléphone, par e-mail ou sur les réseaux sociaux, ne lui fournissez pas votre clé privée, votre phrase de récupération, vos informations bancaires et de carte de crédit, votre date de naissance et vos numéros de sécurité sociale/d'assurance sociale.
  4. Si quelqu'un vous contacte avec une offre qui semble trop belle pour être vraie, doutez-en. Si vous êtes obligé d'agir immédiatement, prenez le temps de discuter de l'opportunité avec un membre de votre famille, un ami ou un conseiller financier.

Essayez l'application SwissBorg aujourd'hui !

Vous pourriez aussi aimer