Technologie : Des hackeurs burundais piratent l’application mobile de la KCB Bank

Technologie : Des hackeurs burundais piratent l’application mobile de la KCB Bank

KCB – Photo d’illustration

Avec la technlogie, personne n’est à l’abri. La géante banque de l’Afrique de l’Est Kenya Comercial Bank (KCB) a été attaqué la semaine dernière  par des hackers burundais. Ces gourous de la technologie qui se veulent  «gentils» ont d’ailleurs parlé en détail  de cette attaque sur leur blog. La KCB aurait alors suspendu  son application mobile en raison de sécurité, après que ces« gentils bonhommes » les  en aient informés. Toutefois, le Kenya a eu d’urgence une autre application jugée aussi  vulnérable par les mêmes hackers.

 

L’attaque…

 

«L’une des plus grandes banques de l’Afrique de l’est, la KCB Banque a suspendue l’application androïde dès qu’on l’a informé de la faille, pour éviter que quelqu’un en profite pour vider quelques comptes» introduisaient les pirates  sur leur blog, avant de parler de la vulnérabilité de l’application androïde de cette banque.

 

La faille de cette application a été repérée au cours de l’année dernière. Ces informaticiens ont remarqué que malgré l’utilisation du SSL pour crypter les informations transitant de l’application androïde au serveur de la KCB à travers Internet, l’application ne vérifiait pas le certificat du serveur. Le certificat d’un serveur est comme sa carte d’identité. C’est ce qui permet de savoir si le site auquel on envoie les identifiants est bien celui de la KCB.

 

En termes plus clairs, pour les non-initiés, «c’est comme si vous étiez patron d’un restaurant, que vous appeliez votre banque pour qu’elle vous envoie un fourgon blindé récupérer votre recette du soir et que vous ne vérifiez pas l’identité de la personne à l’autre bout du fil. Si vous vous retrouviez à parler avec quelqu’un d’autre (un hacker), et qu’il est malin, il vous enverra son fourgon et prendra votre argent. »

 

L’opération de piratage en détail

 

L’opération nous est  expliquée ici par ces hackers. «Le hacker, pour récupérer vos identifiants, doit d’abord créer un faux serveur qui se fera passer pour celui de la KCB. Ensuite, trouver un moyen de se mettre entre vous et le serveur de la KCB. C’est ce qu’on appelle une attaque de type Man in the Middle (l’homme du milieu). Dans le meilleur des cas, le hacker ne récupérera que les identifiants d’une seule personne et dans le pire des cas, le hacker s’attaquera au Serveur DNS de la KCB ce qui lui permettra de récupérer les identifiants de tous les utilisateurs de l’application androïde».

 

Et d’ajouter : « Pour prouver l’existence de la faille (Proof Of Concept), nous avons créé un serveur avec apache tomcat qui se fera passer pour le serveur web de la KCB auprès de l’application androïde et vice versa. Nous avons aussi utilisé un faux serveur DNS pour qu’il nous renvoie vers notre faux serveur au lieu de celui de la KCB. Enfin nous avons utilisé un émulateur androïde. On obtient  tous les identifiants dont on a besoin pour prendre le contrôle du compte en question».

 

Le point de vue des ces informaticiens est que la KCB n’était pas obligée de suspendre l’application, vu qu’il suffisait de quelques lignes de code pour sécuriser l’application.

 

La KCB  a mis sur place une autre application, mais qui fonctionne pour le moment uniquement au Kenya.

 

A propos de ces hackers

 

Composés de bidouilleurs burundais, ces informaticiens ont déjà piraté plusieurs sites et applications tant à l’intérieur qu’à l’extérieur du Burundi. Toutefois, on pourrait dire qu’ils le font pour tester la résistance de ces sites web vu qu’une fois la faille repérée ils le signalent aux concernés.

 

Ces mêmes hackers seraient à l’origine de la fermeture de l’application burundaise «JEWE NAWE» créée pour faciliter la rencontre de l’âme sœur. L’application a été arrêtée par son concepteur après que ces derniers lui aient signalé la faille  en termes de protection confidentielle.

 

Armand NISABWE

 

 

Comments

comments




One thought on “Technologie : Des hackeurs burundais piratent l’application mobile de la KCB Bank

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.