Blog
22. mars 2019

Pourquoi l’appli neon est une forteresse

La sécurité est cruciale lorsqu’il s’agit d’argent. Nous avons donc souhaité effectuer un test de sécurité complet chez neon à la fin du mois de février. Nous avons mandaté une société extérieure pour qu’elle tente de s’introduire dans neon à la manière de pirates informatiques. Le résultat a été très clair: il est impossible d’accéder à ton argent ou à tes données. 

(Souhaites-tu en savoir plus sur le phishing, comment il fonctionne, ce que nous faisons pour toi et comment tu peux te protéger toi-même? Alors rends-toi ici. Ou souhaites-tu en savoir plus sur l’authentification à deux facteurs et la garantie des dépôts? Tu en liras plus ici.)

Mais prenons d’abord un peu de recul:

Comment fonctionne un test de sécurité?

Un test de pénétration (ou «pentest») consiste à simuler un scénario de piratage. Il s’agit donc bien plus que d’un simple scan automatique, car des experts essaient ici de démanteler l’application neon et d’obtenir des informations. Ils essaient de transférer de l’argent d’un autre compte, de trouver des données sensibles ou de passer à un autre compte avec leur propre connexion (login) et donc d’accéder aux données. Cela se passe en deux phases, un test en boîte noire  suivi d’un test en boîte grise. Puis un test en boîte blanche permet d’analyser le back-end, soit toute la structure technique «derrière» l’application, que toi, l’utilisateur, ne vois pas.

Phase 1: Test en boîte noire

Il est intéressant pour toi car il reflète de manière très vraisemblable ce qui se passerait si tu perdais ton téléphone ou s’il est volé. Les ingénieurs en logiciel démantèlent et analysent l’application (comme le ferait un hacker externe) et recherchent les éventuelles vulnérabilités des services web, du système d’authentification ou de la configuration du serveur lui-même qu’ils peuvent exploiter. S’ils sont bloqués à ce stade-là c’est-à-dire s’ils ne peuvent pas pénétrer dans l’application, ils passent à la phase 2.

Phase 2: Test en boîte grise

Dans ce scénario, nous donnons un peu plus d’informations aux hackers. Cela peut être la structure de base de l’appli, par exemple, ou une liste de tous les terminaux disponibles (interfaces où les données sont transférées). Une fois en possession de ces connaissances, ils essaient à nouveau d’obtenir des données ou de l’argent.
Dans les deux types de tests (en boîte noire ou grise), les hackers tentent d’accéder à de l’argent ou des données à différents endroits. Parmi les éléments inspectés figurent les canaux de communication, les ports, les protocoles, le cryptage, l’authentification, etc. Dans une nouvelle étape, le code de l’appli est reconstruit grâce au Reverse Engineering. Cette méthode est utilisée pour voir s’il existe une protection contre le Reverse Engineering, le Jailbreak, etc. et révéler les faiblesses du cryptage.

Phase 3: Test en boîte blanche du back-end

En outre, les experts examinent l’ensemble de l’infrastructure back-end. Nous utilisons ici un test en boîte blanche. Cela signifie que nous divulguons l’infrastructure technique sur laquelle fonctionnent toutes les activités de neon. Pas d’inquiétude: les hackers ne voient pas de données personnelles. La question principale est ici de savoir comment l’ensemble est construit.

Les conclusions que nous en avons retirées

Le résultat? Très simple: les hackers ne sont pas parvenus à entrer dans notre infrastructure. Elle a résisté sans problème à cette attaque intense. Tu peux donc en retenir que neon est sûr et que nous continuerons à prendre au sérieux la sécurité de ton argent et de tes données. Il en va de même pour la transparence: avec ce genre d’articles, nous voulons te montrer ce qui se cache derrière l’appli neon. De cette manière, tu ne dois pas seulement nous croire, mais tu peux aussi comprendre de quoi il en ressort.

Sache également que ton argent est également en sécurité sur le plan juridique. Grâce à notre partenariat avec la Banque Hypothécaire de Lenzbourg, ton compte est soumis aux mêmes règles (dictées par la Finma) que tout autre compte bancaire suisse. Tu bénéficies aussi de la garantie des dépôts (jusqu’à 100 000 CHF), soit une autre sécurité pour ton argent.

Donne-nous ton avis