Parler à un expert
Parler à un expert

Finance & Actifs numériques

Banques, néobanques, assurances, exchanges

739 incidents en 2025.
Le secteur le plus ciblé — et le plus réglementé.

Lazarus Group sur SWIFT, applications mobiles bancaires reverse-engineerées, smart contracts drainés. DORA impose désormais des tests offensifs formels (TLPT) tous les 3 ans pour les entités financières systémiques. Quarkslab est qualifié pour les exécuter.

1
Incidents données finance en 2025 — n°1 tous secteurs (Verizon DBIR)
$ 1 Mds
Volés en crypto en 2025 — smart contracts et clés privées
DORA 0
TLPT obligatoires tous les 3 ans — 22 000 entités EU concernées
1 %
Des brèches bancaires via supply chain — doublement en 4 ans

Pourquoi la finance reste la cible n°1

Lazarus Group & SWIFT : vol organisé à l'échelle nationale
Lazarus (Bureau 121, Corée du Nord) opère des campagnes de vol massives — 11 semaines dans les systèmes de la Bangladesh Bank avant détection. TA505 et Akira exploitent les vulnérabilités VPN (SonicWall, Fortinet) pour accéder aux systèmes core banking EU.
RE d'APK & bypass des contrôles de sécurité
Les applications bancaires sont reverse-engineerées pour contourner la détection jailbreak, bypasser le certificate pinning et extraire les clés cryptographiques. Les SDK tiers (analytics, publicité) introduisent des vulnérabilités non maîtrisées dans vos apps.
APIs PSD2/PSD3 imposées : vecteur d'attaque structurel
PSD2/PSD3 imposent des APIs exposées à des tiers. Ces APIs sont des vecteurs BOLA/IDOR documentés — accès aux comptes d'autres clients par manipulation des identifiants. 52% des banquiers anticipent une aggravation en 2026.
Smart contracts non audités & clés mal protégées
$2,9 milliards volés en crypto en 2025, principalement via des smart contracts vulnérables. MiCA impose désormais un audit sécurité pour les CASP. Les exchanges sans audit avant licence risquent un refus ou retrait d'agrément.

Ce que Quarkslab apporte

QREDTEAM

ADVERSARY SIMULATION

  • TLPT DORA / TIBER-EU — simulation APT financiers réels (Lazarus, TA505, Scattered Spider)
  • Red team mobile banking — bypass jailbreak, certificate pinning, exfiltration de clés
  • Test APIs Open Banking PSD2/PSD3 — BOLA, IDOR, injection
  • Red team infrastructure SWIFT — simulation vecteurs Lazarus documentés
  • Pentest terminaux ATM et TPE — firmware extraction, skimming logiciel
Découvrir QRedTeam

QLAB

DEEP SECURITY RESEARCH

  • Audit firmware ATM/TPE — extraction binaire, protocoles propriétaires constructeur
  • Analyse binaire applications mobiles bancaires (APK/IPA) — reverse engineering complet
  • Audit smart contracts et protocoles DeFi — reentrancy, logic bugs, oracle manipulation
  • Évaluation HSM et composants cryptographiques (SCA/FIA) — résistance physique
  • Audit SDK tiers intégrés dans les applications bancaires
Découvrir QLab

QSHIELD

SOFTWARE PROTECTION

  • Protection applications mobiles bancaires contre reverse engineering et clonage
  • Obfuscation des algorithmes de scoring et de détection de fraude
  • Protection firmware TPE/ATM contre l’extraction et modification frauduleuse
  • Anti-tamper des applications de paiement mobile
  • Protection IP des modèles IA d’analyse de fraude
Découvrir QShield

DIFFÉRENCIATEUR QUARKSLAB

Les grands cabinets coordonnent les TLPT mais sous-traitent souvent la partie technique, d’autres acteurs n’ont pas la diemnsion offensive. Quarkslab apporte la profondeur technique offensive (firmware ATM, RE binaire apps, smart contracts, SCA/FIA HSM) combinée à la qualification institutionnelle pour les TLPT DORA — et QShield pour protéger ce qui a été identifié comme exposé.

Ce que nous nous dirions en face à face

Votre prochain TLPT DORA est-il prévu — et qui va réellement l’exécuter ?

DORA impose des TLPT tous les 3 ans. Mais un TLPT TIBER-EU n’est pas un pentest classique : il exige une threat intelligence réelle sur les adversaires ciblant votre institution, une simulation de leurs TTPs documentés, et un rapport structuré pour votre régulateur. La différence entre un TLPT conforme et un pentest re-labellisé, c’est ce que votre régulateur verra dans votre dossier.

Adversaires réels — Lazarus, TA505, Scattered Spider
Nos red teams utilisent les TTPs documentés des groupes qui ciblent réellement votre type d'institution. Pas des scénarios génériques.
De l'ATM au mobile — sans boîte noire
Nous analysons le firmware des ATM, les binaires bancaires et les smart contracts avec la même profondeur que nos recherches publiées.
Zéro conflit d'intérêt — pas de SIEM à vendre
Quarkslab ne vend aucune solution défensive. Notre seul intérêt est de trouver les vraies vulnérabilités.
Vos algorithmes de fraud detection, inviolables
QShield protège vos modèles de détection de fraude contre le reverse engineering concurrent ou adverse.
Nos publications & CVE
Demander un brief Dora