Sécuriser l'API FDX pour défendre les données dans l'Open Banking
Lors du récent FDX Global Summit Spring 2021 , j'ai participé en tant que panéliste représentant F5, avec d'autres panélistes de Cequence Security et Mastercard-Nudata. Nous avons discuté du travail du groupe de travail sur la sécurité des API FDX, qui rassemble des institutions financières, des agrégateurs et des fournisseurs de sécurité pour collaborer à la définition d'une norme bancaire sécurisée et ouverte pour le partage de données.
Financial Data Exchange (FDX) est une organisation à but non lucratif axée sur le développement de la norme API (Application Programming Interface) FDX pour créer une norme de données interopérable commune. Cela permet aux consommateurs et aux entreprises d’accéder de manière fiable et sécurisée à leurs données financières et constituera la référence en matière d’open banking aux États-Unis et au Canada.
L’open banking offre une opportunité passionnante d’innovation et de collaboration accrues dans le secteur des services financiers, en offrant aux FinTechs et à d’autres tiers autorisés un accès pour innover et fournir des services à valeur ajoutée avec des informations financières aux consommateurs. Les normes bancaires ouvertes offrent aux consommateurs la possibilité de consentir et d'autoriser un accès sécurisé et précis par des tiers à des données financières spécifiques aux consommateurs (par exemple, les soldes, les transactions) et à des fonctions (par exemple, les paiements). Il existe des possibilités intéressantes pour les tiers et les FinTechs de fournir des services à valeur ajoutée, notamment :
- Agrégation de comptes/services de plusieurs institutions en un seul endroit
- Initiation de paiement
- Comparaison de produits financiers
- Fournir des services bancaires non déjà fournis par l'institution
- Fournir des informations et des décisions basées sur des données financières, telles que la vérification d’identité, l’évaluation de la solvabilité du crédit, etc.
F5 a travaillé en étroite collaboration avec nos clients des services financiers du monde entier pour mettre en œuvre et sécuriser des API bancaires ouvertes. F5 et Twimbit ont collaboré pour publier une recherche sur les tendances mondiales en matière d'open banking.
Valeur intrinsèque des informations financières des consommateurs
Les informations financières des consommateurs sont une marchandise échangée sur les marchés du darknet entre 35 USD (pour les comptes avec des soldes faibles qui peuvent être utilisés comme comptes mules pour d’autres fraudes) et 150 USD et plus (pour les comptes avec des soldes plus importants). Cette valeur marchande relativement faible des informations financières des consommateurs est le résultat de l’offre écrasante de comptes et d’informations d’identification compromis disponibles. Les adversaires ont donc exploité l’automatisation (les API) afin de faire évoluer leurs opérations, qui se négocient sur des milliers de comptes volés ; les API financières sont donc devenues une surface de menace principale à protéger.
Les attaquants se concentrent sur les API de l'Open Banking
Ces derniers temps, les cybercriminels ciblant le secteur des services financiers commencent à concentrer davantage leurs attaques sur les interfaces de programmation d’applications (API). Les applications ont évolué vers un modèle de plus en plus distribué et décentralisé, avec les API comme points de connexion. L’étude F5 la plus récente montre que le nombre d’incidents de sécurité des API augmente chaque année et que la plupart des incidents d’API au cours des deux dernières années étaient liés à un faible niveau de maturité de sécurité, souvent causé par la prolifération des outils. Différentes équipes de développement travaillant sur plusieurs applications utilisent souvent des ensembles d’outils disparates. Cela signifie que les équipes de sécurité traditionnelles ne disposent peut-être pas d’un point de contrôle centralisé pour renforcer la sécurité. Cela nécessite un ensemble standard d’outils pour intégrer les contrôles appropriés dans les processus de développement et de gestion des API.
Une évolution : OFX et le screen scraping
Les API ne sont pas la seule surface de menace qui nécessite une attention particulière. Traditionnellement, les tiers et les agrégateurs financiers qui ont besoin d’accéder aux données des consommateurs ont utilisé deux mécanismes :
- OFX (Open Financial eXchange) — qui a été initialement conçu pour connecter les applications financières grand public (par exemple, MS Money, Intuit QuickBooks) aux institutions financières d’un utilisateur.
- Capture d'écran : lorsque les consommateurs fournissent leurs informations d'identification bancaires à un tiers, ce dernier se connecte et récupère ces informations à partir du canal Web des services financiers.
OFX peut être utilisé comme canal par des adversaires pour effectuer des opérations de vol d'identifiants, de validation de compte et de prise de contrôle à grande échelle, à la fois directement et via des agrégateurs financiers :
- F5 observe régulièrement qu'OFX est utilisé comme canal par des adversaires pour effectuer des vols d'identifiants, des validations de comptes et des prises de contrôle à grande échelle, à la fois directement et via des agrégateurs financiers.
- La fourniture à des tiers d'informations d'identification pour le scraping d'écran expose ces informations d'identification à la posture de sécurité de ce tiers.
- Ces mécanismes ne fournissent pas au consommateur un consentement précis ni un contrôle sur les informations auxquelles le tiers a accès, ce qui entraîne des violations de la vie privée.
OFX a rejoint FDX et fusionnera à terme dans une norme unifiée, représentant l'opportunité de moderniser les contrôles de sécurité et de relever les défis de sécurité du passé. Les approches basées sur le scraping d’écran continuent de constituer un défi pour les institutions financières.
Recommandations pour améliorer la sécurité
FDX a publié des conseils complets concernant les contrôles qui doivent être mis en œuvre afin de protéger les informations des comptes consommateurs et l'intégrité des services contre les menaces et les risques. Ces contrôles comprennent :
- Sécurité logicielle : contrôle des 10 principales vulnérabilités logicielles de l'OWASP et autres, y compris le déploiement d'un pare-feu d'application Web (WAF)
- Sécurité des réseaux et des systèmes
- Sécurité opérationnelle
- Sécurité physique
- Continuité des activités et reprise après sinistre
- Sécurité des fournisseurs
- Modèles de conception pour authN/authZ, y compris les contrôles pour le bourrage d'informations d'identification
- Modèles pour une architecture de passerelle sécurisée (SGA), y compris les contrôles de sécurité API intégrés à la passerelle API
Enfin, le guide des solutions bancaires ouvertes F5 fournit une approche complète des solutions F5 pour l'open banking.
Un merci spécial aux membres de notre équipe des services financiers qui ont contribué à cet article : Benn Alp, Chad Davis et Andy Franklin.