Blog

En quoi les applications mobiles WebView sont dangereuses pour la banque

Les « applications » bancaires qui s'exécutent dans des environnements de navigateur exposent les identifiants sans que les équipes s'en rendent compte. Cet article explore des exemples d'attaques sur des applications mobiles WebView.

Nov 21, 2025 • 4 min read

Simon Wijckmans Founder & CEO

Image de couverture : en quoi les applications mobiles WebView sont dangereuses pour la banque

Que sont les applications mobiles WebView et comment fonctionnent-elles ?

Les applications WebView sont des applications web qui se comportent comme des applications mobiles, mais qui s'exécutent en réalité dans un environnement de navigateur installé sur l'appareil de l'utilisateur. Il s'agit d'un vecteur d'attaque discret, particulièrement propice au vol d'identifiants au sein des applications bancaires WebView.

Une application mobile WebView est souvent confondue avec une Progressive Web Application (PWA), mais elles présentent quelques différences.

Les deux sont principalement utilisées pour simplifier la prise en charge multiplateforme. Plutôt que de développer essentiellement les mêmes fonctionnalités sur plusieurs infrastructures front-end, il est désormais possible de tout faire sur une seule. Elles sont également plus légères à exécuter et à mettre à jour.

Pourquoi les applications bancaires sont-elles une cible majeure pour le vol d'identifiants ?

Les applications bancaires construites sous forme de WebViews sont une cible facile, car elles donnent un accès direct à l'argent. Une fois la session détournée (ou les identifiants volés), les attaquants peuvent agir rapidement. Le chemin entre l'attaque et le butin est bien plus court qu'avec d'autres types d'attaques.

Quels sont les 2 types de vol d'identifiants sur les PWA bancaires ?

Il existe 2 façons dont le vol d'identifiants bancaires se produit sur les applications WebView. Dans les deux cas, les attaquants exploitent l'infrastructure basée sur le navigateur sur laquelle reposent les WebViews. Soit en ciblant de vraies applications bancaires PWA en y injectant des scripts malveillants (= attaques côté client), soit en créant de fausses applications bancaires (= hameçonnage).

Attaques côté client sur de vraies WebViews

Puisque WebView s'exécute dans un environnement de navigateur sur le téléphone, elles sont soumises aux avantages et aux inconvénients des attaques de navigateur. Ces environnements de navigateur sont également appelés le « client » de l'utilisateur — d'où le terme d'attaques côté client.

Le type d'attaques côté client le plus répandu est l'attaque de la chaîne d'approvisionnement web. C'est là que des outils tiers s'exécutant dans l'environnement du navigateur (outils marketing, pixels de suivi, etc.) sont compromis. Ils modifient alors ou ajoutent à la fonctionnalité du script pour intercepter le trafic, copier les champs de formulaire soumis, et toutes sortes d'autres types d'attaques.

Toutes ces attaques côté client sont possibles sur les WebViews.

Fausses WebViews utilisées dans des attaques d'hameçonnage

Qu'y a-t-il de mieux que d'essayer de compromettre une vraie application bancaire ? En créer une fausse. Ici, les attaquants créent des copies d'applications bancaires WebView avec des fonctionnalités minimales. Puis, lors d'attaques d'hameçonnage, ils manipulent socialement les utilisateurs pour qu'ils téléchargent ces applications malveillantes. Dès qu'ils se connectent, les attaquants ont capturé les identifiants, et souvent même le 2FA.

Exemples de vol d'identifiants sur des WebViews bancaires

OTP Bank (2023)

Fin 2023, une attaque d'hameçonnage a ciblé avec succès OTP Bank (Hongrie). Les victimes ont reçu un SMS contenant un lien vers un faux site web imitant OTP Bank. La page incitait les utilisateurs à installer une application — une WebView dans ce cas.

Dès que les utilisateurs ont tenté de se connecter, les attaquants avaient réussi à dérober leurs identifiants et leurs codes 2FA.

TBC Bank (2023-2024)

TBC Bank en Géorgie a subi une attaque de fin 2023 jusqu'en 2024. Dans cette attaque, les utilisateurs étaient ciblés par des appels vocaux et des publicités sur les réseaux sociaux. Là aussi, une page d'atterrissage avec une fausse invite d'installation de PWA poussait les utilisateurs à télécharger l'application malveillante. Tous les identifiants ont été capturés et utilisés par les attaquants.

Lisez l'histoire d'OTP Bank et de TBC Bank ici.

British Airways (2018)

Dans l'attaque côté client la plus notoire à ce jour, leur application mobile était également impliquée. 429 612 transactions clients ont été interceptées, dont la grande majorité a vu ses identifiants bancaires dérobés. L'application de BA était également une WebView, à l'exception d'un service worker (et d'un manifeste installable), ce qui signifiait qu'elle n'était techniquement pas installable ni capable de fonctionner hors ligne comme une WebView complète. Mais à toutes fins pratiques, c'en était une.

Nous avons rédigé l'histoire complète sur le microsite baways.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Une application mobile WebView est une application web qui s'exécute dans un environnement de navigateur au sein d'un appareil mobile, se comportant comme une application native mais conçue pour simplifier la prise en charge multiplateforme. Contrairement aux PWA, les applications WebView n'exigent pas de service worker complet ni de capacités hors ligne, bien qu'elles partagent la même infrastructure basée sur le navigateur.

Parce que ces applications s'exécutent dans des environnements de navigateur, elles peuvent être vulnérables à des attaques qui dérobent rapidement les identifiants. Les attaquants privilégient les applications bancaires pour leur accès direct aux comptes financiers, et une fois les identifiants compromis, ils peuvent agir très vite.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Comment Bloquer les Agents de Test de Cartes Basés sur l'IA

Les agents IA de test de cartes sondent les flux de paiement avec de vrais navigateurs. Découvrez les signaux qui les exposent avant la finalisation d'une transaction.

Plateforme de sécurité cside classifiant plusieurs connexions d'agents IA — détection d'agents au niveau du navigateur et gestion de la confiance

Comment choisir une solution de détection des agents IA

Guide en cinq étapes pour les RSSI évaluant des solutions de détection des agents IA : architecture, classification, profils de fournisseurs et méthodologie de POC.

Couverture de blog cside montrant une interface navigateur filtrant le trafic des bots et agents IA en chemins approuvés et bloqués

Meilleures Plateformes de Gestion de Confiance des Bots et Agents Comparées (2026)

Forrester définit la catégorie. cside, DataDome, HUMAN Security, Kasada et Arkose Labs comparés sur la couche de détection, l'intention et la couverture agentique.

bouclier de sécurité cside surveillant le parcours du curseur navigateur — détection d'agents IA au niveau navigateur

Comment Bloquer OpenAI Operator sur Votre Site Web

OpenAI Operator navigue votre site comme un utilisateur réel. Apprenez à le détecter via les signaux navigateur et quand ne pas le bloquer.

DBSC face à l'empreinte d'appareil : ce que la sécurité de session de Chrome ne couvre pas

Le DBSC de Chrome bloque le rejeu de cookies volés, mais reste limité à Chrome, post-connexion et sans identité d'appareil. Voici la fraude qu'il laisse.

Détecter et bloquer Perplexity Shopper sur votre site web — blog cside

Comment bloquer Perplexity Shopper sur votre site web

Perplexity Shopper navigue et achète sur les sites e-commerce au nom des utilisateurs Pro. Apprenez à détecter ses signaux et à gouverner ce trafic.

Illustration d'une requête à l'API Claude et d'une réponse renvoyée appartenant à un autre utilisateur, marquée « la réponse ne correspond pas à la requête », entre les logos d'Anthropic et de cside

Quand une API d'IA renvoie la réponse d'un autre utilisateur : caches partagés et fuites entre clients

Un incident de l'API Claude semble avoir renvoyé les réponses d'autres utilisateurs. Pourquoi les caches partagés provoquent des fuites entre clients.

Un jeton d'accès OAuth 2.0 au centre d'un schéma reliant un appareil légitime à l'appareil d'un attaquant

Ce n'est pas la MFA qui a échoué, mais le modèle de confiance : phishing par code d'appareil et vol de jetons OAuth (Kali365)

Kali365 détourne l'octroi d'autorisation d'appareil d'OAuth 2.0 pour voler des jetons Microsoft 365 après la MFA. Décryptage technique du flux, de FOCI et de la détection.

Une fenêtre de navigateur se dissolvant en un flux de particules de lumière bleue sur fond sombre

L'IA comprime le cycle d'exploitation : le zero-day développé par l'IA de Google et ce que cela signifie pour les navigateurs

Google a signalé un zero-day qu'il pense développé par l'IA. Le vrai changement n'est pas un meilleur phishing, mais la vitesse vers le navigateur.

Jetons de session traversant une frontière de sécurité du navigateur vers des signaux d'empreinte du terminal

La session navigateur est devenue un plan de contrôle de sécurité. Les attaquants le savaient depuis des années.

La proposition DBSC de Google confirme un virage clair : les sessions navigateur doivent valider le terminal après la connexion.