Image: UnsplashLes experts de Positive Technologies ont effectué une
analyse de la sécurité des applications de trading - des terminaux de trading qui vous permettent d'acheter et de vendre des actions, des obligations, des futures, des devises et d'autres actifs. Selon l'étude, dans 61% des demandes, il est possible d'obtenir un accès non autorisé à des comptes personnels, dans 33% - effectuer des transactions financières pour le compte d'autres utilisateurs sans accès à votre compte personnel, dans 17% - substitution de citations affichées. De telles attaques peuvent provoquer des changements de prix sur le marché en faveur de l'attaquant, provoquer la panique sur la bourse et causer des dommages financiers importants aux utilisateurs d'applications vulnérables.
Les vulnérabilités des applications de trading les plus courantes
Les experts ont étudié les plates-formes de négociation qui sont populaires non seulement parmi les commerçants privés, mais sont également largement utilisées dans les banques, les fonds d'investissement et d'autres organisations liées aux échanges. Des recherches ont été menées sur les parties clientes des plateformes. Nous avons analysé les terminaux de trading de bureau, ainsi que les applications mobiles (pour Android et iOS) et Web pour le trading.
Dans 61% des applications, un attaquant peut prendre le contrôle du compte personnel d'un utilisateur sur un terminal de trading. Cela vous permettra de négocier les actifs des utilisateurs, d'obtenir des informations sur les fonds disponibles au bilan, de modifier les paramètres du trading automatique, de consulter l'historique des opérations et des opérations planifiées. L'interception des informations d'identification dans les terminaux de bureau est possible en l'absence de chiffrement du trafic, et dans les applications mobiles, cela est facilité par les droits root ou le jailbreak sur l'appareil. L'accès à votre compte personnel peut être obtenu dans certaines versions Web des applications, interceptant la session de l'utilisateur.
Comment tout cela menace-t-il les commerçants
Les vulnérabilités découvertes par les experts de Positive Technologies dans une application sur trois permettent à des personnes non autorisées d'effectuer des transactions pour la vente ou l'achat d'actions au nom de l'utilisateur et sans accès à votre compte personnel. Un attaquant peut augmenter la valeur des titres qui l'intéressent en les achetant en masse sur les comptes d'autres personnes ou réduire la valeur des actions en les vendant activement. De même, vous pouvez manipuler les taux de change - si l'attaque affecte de grands joueurs ou un grand nombre d'utilisateurs. L'achat et la vente d'actifs d'échange pour le compte de quelqu'un d'autre est possible à la fois sur le bureau et sur les terminaux mobiles et Web.
Les attaques contre la version Web des terminaux de trading peuvent être très répandues. Un attaquant peut injecter un script dans une application web ou placer un lien malveillant sur un autre site populaire. Ensuite, au nom de tout utilisateur qui entre dans l'application ou suit le lien, une opération illégitime sera effectuée. Cela permet des attaques contre un grand nombre de participants au marché.
Un trader utilisant une application vulnérable risque également de découvrir que la situation réelle sur le marché financier ne correspond pas à ce qu'il voit sur l'écran du terminal de trading. La substitution des devis affichés est possible dans 17% des candidatures. Par exemple, dans le processus d'analyse des applications de bureau, les experts ont pu simuler un graphique d'intervalle de type «bougies japonaises», qui affiche les changements de devis pour certaines périodes.
Certaines applications de bureau vous permettent de prendre le contrôle de l'ordinateur du commerçant, par exemple, en remplaçant le fichier de mise à jour par un logiciel malveillant. En règle générale, pour attaquer les terminaux de trading pour un ordinateur ou des appareils mobiles, un attaquant a besoin de conditions spéciales, telles que la capacité d'intercepter le trafic ou l'accès physique à l'appareil. Cependant, en cas d'attaque ciblée contre un acteur majeur, la motivation du contrevenant peut être tout à fait suffisante pour offrir de telles conditions. Un exemple d'un tel incident: en février 2015, des propositions de vente de 500 millions de dollars ont été apportées au marché en quelques minutes (à la suite d'une cyberattaque ou d'une erreur d'un opérateur bancaire), qui a fortement déprécié la devise américaine, a permis à d'autres acteurs du marché d'acheter des dollars à un prix inférieur et payés la banque d'énormes pertes.
Comment se protéger
L'accès illégal aux applications commerciales menace de graves chocs pour le marché et les utilisateurs d'applications vulnérables. Lors du choix d'une plateforme de trading, les traders doivent prêter attention non seulement à sa fonctionnalité, mais également à la sécurité. Il est nécessaire d'utiliser les dernières versions des applications et d'installer les mises à jour publiées par le fournisseur à temps.
Pour les commerçants privés qui utilisent des plateformes de trading sur leurs appareils personnels, les experts recommandent d'utiliser des outils antivirus et de ne pas télécharger d'applications à partir de sources non fiables. N'installez pas de versions mobiles d'applications sur des appareils disposant de privilèges root ou d'un jailbreak. Lorsque vous travaillez avec le terminal, il n'est pas recommandé de se connecter à des réseaux non sécurisés, tels que les points d'accès Wi-Fi publics. Pour empêcher tout accès non autorisé à votre compte personnel, vous devez utiliser une authentification à deux facteurs, si cette fonction est prise en charge par l'application.
Dans les systèmes d'entreprise, un segment distinct du réseau dans lequel les terminaux de négociation sont situés devrait être attribué et une protection de ce segment devrait être assurée. Il est nécessaire de suivre les recommandations de base pour assurer un niveau de sécurité acceptable pour les systèmes d'information d'entreprise, et en particulier pour former les employés aux règles de sécurité de l'information.
À leur tour, les développeurs de terminaux de trading doivent effectuer régulièrement des tests de sécurité des applications et mettre en œuvre un cycle de développement sécurisé. Pour protéger les versions Web des plateformes de trading, les experts recommandent l'utilisation de mesures de protection préventive, comme un pare-feu au niveau de l'application.
Le mardi 16 octobre, à 14 heures, lors d'un webinaire gratuit, le chef du groupe de recherche sur la sécurité des systèmes bancaires de Positive Technologies, Yaroslav Babin, parlera davantage de l'étude et donnera des conseils sur le choix d'une application sécurisée pour le trading.
Pour participer au webinaire, vous devez vous inscrire .