Une coopérative de crédit de Pennsylvanie poursuit le géant de la technologie du secteur financier Fiserv, alléguant que des failles de sécurité « déroutantes » dans les logiciels de l’entreprise « font des ravages » chez ses clients. La coopérative de crédit a déclaré que l’enquête qui avait alimenté le procès avait été déclenchée par un rapport BreachTrace de 2018 sur les failles de sécurité flagrantes d’une plate-forme Fiserv qui exposait les détails personnels et financiers des clients sur des centaines de sites Web bancaires.
Fiserv basé à Brookfield, Wisconsin [NASDAQ:FISV] est une entreprise Fortune 500 avec 24 000 employés et 5,8 milliards de dollars de revenus l’an dernier. Ses systèmes de traitement des comptes et des transactions alimentent les sites Web de centaines d’institutions financières, principalement des petites banques communautaires et des coopératives de crédit.
En août 2018, en réponse aux demandes de renseignements de BreachTrace, Fiserv a corrigé une faille de sécurité et de confidentialité omniprésente dans sa plateforme bancaire en ligne. La faiblesse de l’authentification permettait aux clients des banques de consulter les données de compte d’autres clients, notamment le numéro de compte, le solde, les numéros de téléphone et les adresses e-mail.
Fin avril 2019, Fiserv a été poursuivi par Système Bessemer Federal Credit Union, une institution financière relativement petite avec seulement 38 millions de dollars d’actifs. Bessemer a déclaré qu’il avait été ému par cette histoire de lancer sa propre enquête sur les systèmes de Fiserv, et il a trouvé une faille étonnamment simple : la plate-forme de Firsev permettrait à quiconque de réinitialiser le mot de passe bancaire en ligne d’un client. simplement en connaissant leur numéro de compte et les quatre derniers chiffres de leur numéro de sécurité sociale.
Rappelons que dans mon rapport d’août 2018, Les propres systèmes de Fiserv exposaient les numéros de compte bancaire en ligne de ses clients. Ainsi, un attaquant n’aurait besoin de connaître que les quatre derniers chiffres du SSN d’une cible pour réinitialiser le mot de passe de ce client, selon Bessemer. Et ces informations sont en vente à plusieurs endroits en ligne et dans le milieu de la cybercriminalité pour quelques dollars par personne.
Bessemer allègue en outre que les systèmes de Fiserv n’avaient aucun contrôle en place pour empêcher les attaques automatisées qui pourraient permettre aux voleurs de deviner rapidement les quatre derniers chiffres du SSN du client – comme limiter le nombre de fois qu’un utilisateur peut soumettre une demande de connexion ou imposer une période d’attente après un certain nombre de tentatives de connexion infructueuses.
Le procès indique que le correctif que Fiserv s’est empressé de mettre en place après que Bessemer se soit plaint était « pitoyablement déficient et inefficace »:
« Fiserv a tenté de renforcer le site Web de banque en ligne de Bessemer en demandant aux utilisateurs s’inscrivant pour un compte de fournir le numéro de maison d’un membre. Cela s’est avéré inefficace car les adresses résidentielles peuvent être facilement trouvées sur Internet et via d’autres sources publiques. De plus, ces informations peuvent être devinées par un processus d’essais et d’erreurs. Plus alarmant encore, ce contrôle de sécurité était purement illusoire. Étant donné que certains serveurs n’appliquaient pas ce contrôle de sécurité, il pouvait être facilement contourné. »
Bessemer dit qu’au lieu de résoudre ces problèmes de sécurité et de fournir les assurances demandées que les informations étaient correctement protégées, Fiserv lui a émis un « avis de réclamation », alléguant l’examen de sécurité de la coopérative de crédit. de son propre système bancaire en ligne donné lieu à des poursuites civiles et pénales.
La coopérative de crédit a déclaré que Fiserv lui avait demandé de ne pas divulguer les informations relatives à l’examen de sécurité à des tiers, « y compris aux autres clients de Fiserv (qui ont vraisemblablement été touchés par les mêmes problèmes de sécurité dans leurs institutions financières) ainsi qu’aux médias ».
Fiserv n’a pas immédiatement répondu aux demandes de commentaires. Mais le porte-parole de Fiserv Grotte d’Ann a été cité dans plusieurs publications en disant: « Nous pensons que les allégations ne sont pas fondées et répondrons aux réclamations dans le cadre du processus judiciaire. »
Charles Nerkol’avocat représentant Bessemer dans le procès, a déclaré que pour protéger les membres de la coopérative de crédit, la coopérative de crédit remplace son principal fournisseur de traitement, bien que Nerko n’ait pas précisé où la coopérative de crédit pourrait mener ses activités.
Selon FedFis.comFiserv est de loin le processeur central de la meilleure banque, avec plus de 37 % de parts de marché. Et il est sur le point de devenir bientôt beaucoup plus gros.
En janvier 2019, Fiserv a annoncé qu’elle acquérait le géant du traitement des paiements First Data dans le cadre d’un accord entièrement en actions de 22 milliards de dollars. L’affaire est devrait fermer au second semestre 2019, dans l’attente d’un examen antitrust par le ministère américain de la Justice.
Cette fusion, si elle devait se concrétiser, pourrait ne pas être de bon augure pour les clients de Fiserv, argumente Paul Schaus de Banquier américain.
« Les banques devraient prendre cette tendance comme un signal d’alarme », a écrit Schaus. « Plutôt que de proposer de nouvelles innovations dont les banques et leurs clients ont soif, les fournisseurs traditionnels cherchent à rester pertinents en acquérant des produits et services existants qui élargissent leurs portefeuilles dans de nouveaux domaines de services financiers. À mesure que les technologies émergentes deviennent de plus en plus essentielles pour les activités quotidiennes, ces fournisseurs traditionnels, avec lesquels les banques entretiennent des relations étroites de longue date, ne seront probablement pas à la pointe de tous les produits ou canaux. Au lieu de cela, les institutions financières devront rechercher de nouveaux fournisseurs qui ont des engagements plus profonds et se concentrent sur les technologies de pointe qui entraîneront le changement de l’industrie.