Sur une centaines de sites web et d'applications mobiles de FinTechs, seuls Brex Inc. et N26 Gmbh réunissent tous les critères d'une cyber-sécurité acceptable : chiffrement SSL complet, respect intégral des recommandations PCI DSS (Payment Card Industry Data Security Standard) et conformité aux exigences du RGPD (GDPR, règlement général européen sur la protection des données personnelles). Par conséquent, 98 % des FinTechs sont vulnérables en matière de cybersécurité. Ce fiasco a été relevé dans une étude réalisée par ImmuniWeb sur les 100 plus importantes FinTechs dans le monde.
Et, même sur les deux à peu près épargnés par l'étude, des failles existent. En particulier Immuniweb a repéré des failles liées à des API, des sous-domaines ou des applications inutilisées ou obsolètes mais toujours accessibles sur la totalité de la centaine de services étudiée. Pire : toutes les applications mobiles étudiées comportent au moins une faille de niveau de risque moyen (97 % en comportent au moins deux !). Côté web, une vulnérabilité à risque moyen ou élevé, documentée publiquement et pour laquelle il existe au moins un exploit, a été repérée sur 8 domaines principaux et 64 sous-domaines. La plus vieille repérée date de 2012 et aurait pu être corrigée par un patch sur jQuery.
56 % des services étudiés ont des failles liées à de mauvaises configurations. 62 % des sites web (domaine principal) ne sont pas conformes PCI DSS et 64 % au RGPD. L'implémentation du SSL sur le domaine principal est cependant correcte dans 99 % des cas (il reste donc une fintech pour laquelle ce n'est pas le cas). De même, les Web Application Firewall (WAF) sont utilisés dans 95 % des sites principaux (65 % des sous-domaines). Mais 57 % des applications mobiles ont de graves problèmes de configuration ou des vulnérabilités. Immuniweb précise : « les vulnérabilités de sites Web les plus courantes étaient XSS (Cross Site Scripting, OWASP A7), Sensitive Data Exposure (OWASP A3) et Sécurité de configuration erronée (OWASP A6) ».
Commentaire