En quelques années seulement, l’open banking (l’utilisation d’API ouvertes permettant à des tiers de créer des produits et des services à partir des offres des banques, des compagnies d’assurance et d’autres institutions financières) a changé le paysage des services financiers.
La possibilité d’exploiter les produits de services financiers existants pour créer de nouvelles offres dans des domaines tels que les prêts, les paiements et les assurances a permis aux consommateurs d’effectuer beaucoup plus facilement des transactions, de gérer leur vie financière et de contrôler leurs données personnelles. Dans le même temps, les protocoles API ouverts stimulent l’innovation dans les services financiers et créent des flux de revenus importants pour les institutions financières. Et avec la nouvelle version de l' API FDX 5.0 , qui codifie les normes de sécurité, d'interopérabilité et de performance des API, ainsi que l' échéance à venir de la PSD2 Strong Customer Authentication (SCA) dans l'Union européenne, davantage d'innovations et de nouvelles opportunités de revenus sont sûres à venir.
Mais là où il y a une récompense, il y a invariablement un risque. De par leur nature, les API ouvertes exposent les données internes et clients à des tiers, ce qui rend ces données plus vulnérables à l’accès par des acteurs malveillants. Cela est particulièrement préoccupant pour les agrégateurs de comptes qui, comme Mint et Plaid, permettent de fournir des services financiers modernes aux consommateurs. Lisez la suite pour découvrir comment les mauvais acteurs utilisent les agrégateurs pour attaquer et frauder les banques, les compagnies d’assurance et d’autres institutions financières.
Les agrégateurs de comptes financiers peuvent apporter une réelle valeur ajoutée aux consommateurs, en leur offrant une vue unique de leur vie financière. Ils profitent également aux institutions financières en réduisant les frictions dans les transactions et en créant de nouvelles sources de revenus. C’est pourquoi de nombreuses institutions financières assouplissent leurs procédures de sécurité lorsqu’elles se connectent à des agrégateurs. Mais parce qu’ils peuvent stocker des données provenant de centaines de millions de comptes, les agrégateurs sont des cibles attrayantes pour les mauvais acteurs, en particulier les plus petits agrégateurs, qui peuvent manquer du financement et de la sophistication de sécurité de leurs pairs plus établis.
Parallèlement, la croissance des données de comptes volées accessibles aux acteurs malveillants alimente les attaques automatisées de credential stuffing , dans lesquelles les acteurs malveillants tentent d’accéder aux comptes à l’aide de botnets et d’informations d’identification volées. Ces attaques sont devenues un problème de taille pour les institutions financières, provoquant d’importantes violations de données et des pertes financières considérables, au point que le FBI a récemment émis un avertissement officiel au secteur financier américain concernant la menace posée par le « credential stuffing ».
Le résultat le plus alarmant de l'augmentation du « credential stuffing » est l'augmentation des prises de contrôle de comptes (ATO), dans lesquelles les attaquants prennent le contrôle des comptes auxquels ils ont accès afin de vider frauduleusement ces comptes de leurs fonds. Selon Javelin Strategy and Research, dans son étude 2021 sur la fraude à l'identité , la fraude ATO a entraîné plus de 6 milliards de dollars de pertes totales en 2020.
L’enquête a également calculé le coût moyen des attaques de credential stuffing , et a constaté, de manière choquante, qu’il peut représenter plus de six fois les revenus générés par les utilisateurs actifs mensuels.
Les risques ne s’arrêtent pas là et sont malheureusement plus graves que certains pourraient le penser. Les mauvais acteurs savent que le trafic des agrégateurs est moins susceptible d’être bloqué, ils aiment donc les utiliser comme portes dérobées vers les institutions financières. En 2019, par exemple, le géant des services financiers NCR Corp. a jugé nécessaire de bloquer temporairement l’accès de certains agrégateurs à sa plateforme bancaire numérique lorsqu’il a découvert une vague de prises de contrôle automatisées de comptes provenant d’eux.
En ouvrant les API aux agrégateurs, les institutions financières augmentent également le risque de performance du système en provoquant ou en contribuant à des pics de trafic. Cela est dû en partie au fait que les agrégateurs sont parmi les plus grands utilisateurs des API bancaires ouvertes, générant 20 % du trafic d’une banque classique . Un autre facteur, selon le FBI, est que les attaques de « credential stuffing » peuvent mettre à rude épreuve les systèmes d’authentification des institutions financières, à tel point que ces dernières sont convaincues qu’elles sont confrontées à une attaque par déni de service .
En fin de compte, l’open banking expose les institutions financières à des risques importants et omniprésents. C’est pourquoi, chez F5, nous adoptons une approche stratégique pour aider les institutions financières à gérer et à sécuriser les API bancaires ouvertes.
F5 est déjà un leader dans la fourniture de gestion d'API, de passerelles API hautes performances et de contrôles de sécurité avancés dans une solution tout-en-un, réduisant la prolifération des outils et limitant la complexité architecturale.
F5 surveille les tentatives de connexion aux comptes des institutions financières en temps réel, permettant aux institutions financières de faire la distinction entre les utilisateurs réels, les robots et l'automatisation, et les tentatives de fraude manuelles (menées par l'homme). Nous aimons penser que c’est l’une des raisons pour lesquelles les 15 plus grandes banques commerciales américaines utilisent toutes les solutions F5 . Aujourd’hui, nous innovons pour étendre notre ensemble de solutions et fournir un support encore plus complet pour l’open banking.
Dans les mois à venir, vous en apprendrez davantage sur F5 en matière d’open banking, en vous concentrant sur des sujets tels qu’une meilleure gestion du trafic provenant des agrégateurs et la protection contre les attaques API.
Un exemple est notre produit Aggregator Management, qui offre aux clients F5 de la communauté bancaire ouverte une meilleure visibilité sur le trafic API, la détection automatique du credential stuffing, la détection du trafic anormal et la possibilité de limiter les privilèges d'accès au contenu pour les agrégateurs. Pour les institutions financières, cela signifie un contrôle plus précis sur les agrégateurs, une meilleure protection des comptes des consommateurs contre la fraude, une meilleure disponibilité des applications et moins de risques.
Restez à l'écoute! En attendant, apprenez-en davantage sur les risques de l’open banking et comment les éviter :