3 "zones interdites" qui font que l'application bancaire coupe automatiquement la connexion
A partir du 1er mars 2026, l'exigence oblige les applications bancaires (Mobile Banking) a avoir un mecanisme d'"autodefense", conformement a la circulaire 77/2025/TT-NHNN. Plus precisement, les applications doivent se deconnecter, cesser de fonctionner et informer les clients des raisons si des appareils mobiles ne garantissent pas l'environnement de securite.
Voici 3 "zones interdites" qui font que l'application bancaire coupe automatiquement la connexion:
1. L'appareil est "jailbreake" (Root/Jailbreak)
C'est le cas le plus courant. Si le telephone du client a ete interfere avec le systeme d'exploitation (Root pour Android ou Jailbreak pour iOS) ou s'il a ete deverrouille du mecanisme de protection de demarrage (unlock bootloader), l'application bancaire refusera de fonctionner. Ceci vise a empecher les pirates informatiques de prendre le controle profond de l'appareil pour voler le code OTP ou les informations de connexion.
2. Courir dans un environnement de simulation ou de correction
L'application s'echappera automatiquement si elle detecte:
L'environnement a un debuiteur en activite.
L'application fonctionne sur un appareil virtuel, un emulator.
Le telephone est en mode permettant a l'ordinateur d'intervenir directement (Android Debug Bridge).
3. Applications impliquees dans des logiciels malveillants
Si le logiciel Mobile Banking detecte que des codes inconnus sont inseres de l'exterieur (hooking) pour suivre les donnees, enregistrer des logs ou detecter que l'application a ete reconditionnee (repacking) differemment de la version originale de la banque, le systeme arretera immediatement la transaction.
Mise a jour obligatoire de la derniere version
Outre le mecanisme d'autodeblocage, la circulaire 77 exige egalement que les banques controlent strictement les versions d'application:
Empecher la mise a niveau: Les clients, lors de la reinstallation ou de l'activation sur un nouvel appareil, sont tenus d'utiliser la derniere version. Les banques doivent avoir des solutions techniques pour empecher les utilisateurs de se degrader (downgrade) vers d'anciennes versions non securisees.
Examen periodique: Au moins tous les 3 mois, les banques doivent reevaluer les failles de securite des versions en circulation.
Traitement d'urgence: Si une faille grave est detectee, la banque a le droit d'arreter d'autoriser les transactions sur la version defectueuse et de demander aux clients de la mettre a jour immediatement.
Cette reglementation est consideree comme une etape importante de la Banque d'Etat face a la situation croissante de la cybercriminalite, profitant des failles des appareils d'utilisateurs pour s'approprier des biens.
C'est la premiere fois que l'on s'agit d'un groupe de personnes qui s'occupent d'une affaire ou d'une affaire.
