Comment les chevaux de Troie assiègent le secteur financier

Le secteur financier européen a pris conscience de la menace cybernétique en 2016 lorsque le cheval de Troie "Dyre" a attaqué la finance allemande. Si le secteur a rehaussé ses standards de sécurité, des marges de progrès subsistent.

Le cheval de Troie Dyre a été actif pendant deux ans, planant comme une ombre sur le secteur financier. Il collectait et transférait des données en silence, et les dommages causés tournaient autour des 10 millions de dollars à chaque fois. Il n’est heureusement plus actif.  

Malgré cela, les ransomwares restent un sujet majeur pour les experts en cybersécurité, notamment dans l’industrie financière. Les chevaux de Troie conçus pour le chantage peuvent chiffrer des données ou des systèmes entiers, et ne les rendre que contre paiement, le plus souvent en Bitcoins pour empêcher la traçabilité. Chaque année, les coûts s’élèvent à plusieurs dizaines de milliards d’euros en France comme en Allemagne.  

Des deux côtés du Rhin, les autorités ont défini des bonnes pratiques en matière de cybersécurité, avec l’ANSSI en France. Celles-ci incluent la définition et mise en œuvre d’une stratégie IT, le respect de standards industriels et une analyse des performances et des risques. Cependant, ce n’est pas toujours suffisant face au nombre croissant de cyberattaques. Chaque semaine, la presse fait écho d’attaques réussies et très dommageables à des acteurs connus – citons par exemple WhatsApp, la Nouvelle-Orléans, Bouygues Construction ou le CHU de Rennes.  

Cela pose un double problème aux acteurs financiers. Le premier est qu’elles doivent soit payer des sommes importantes, soit perdre des données critiques – ce qui entraîne également une perte financière. Le second est que, à plus long terme, les cyberattaques réussies leur font perdre en crédibilité auprès de leur clientèle, or il s’agit là de l’un de leurs actifs les plus importants. L’essor des banques en ligne et de l’utilisation des services digitaux, par exemple, repose sur une confiance sans faille dans la sécurité et la fiabilité des services numériques qui doivent être accessibles par ordinateur, tablette et smartphone.  

Des chevaux de Troie spécialisés dans le secteur financier 

Les chevaux de Troie dédiés au secteur financier sont les plus lucratifs pour les cybercriminels. Ces malwares s’étendent principalement via des pièces jointes sur lesquels les équipes cliquent sans savoir de quoi il s’agit. Par exemple, le texte des emails peut insinuer qu’il s’agit de documents officiels. D’autres modes de transmissions incluent les clés USB.  

Dans le secteur financier, les vulnérabilités des navigateurs sont surtout utilisées pour voler des données bancaires. Cette méthode, connue sous le nom d’attaque « Man-in-the-Browser », repose sur l’infiltration d’un navigateur pour gagner accès de façon directe ou indirecte aux données qui y circulent, notamment les mots de passe et informations bancaires.  

Le schéma suivant explique le fonctionnement du malware Dyre :  

Ce cheval de Troie a un fonctionnement typique des attaques « Man-in-the-Browser ». Il est diffusé via un email infecté, installé par un employé sans mauvaises intentions, puis il se connecte directement aux navigateurs internet. Il collecte et sauvegarde les pages visitées et compare ces sites web à ceux contenus sur une liste établie par les cybercriminels.  

En cas de correspondance, le malware redirige l’utilisateur vers une page web trompeuse : l’utilisateur croit accéder à la vraie page web, mais c’est en réalité un duplicata créé par le pirate informatique dans l’intention d’y collecter toutes les données entrées par l’utilisateur, dont son identifiant et son mot de passe.  

Par la suite, d’autres malwares sont téléchargés et installés, et l’ordinateur infecté diffuse à son tour le cheval de Troie vers d’autres ordinateurs par email afin de toucher d’autres utilisateurs.  

L’expansion des malwares est symptomatique de mauvaises pratiques en cybersécurité 

Si les récentes cyberattaques sont aussi efficaces, c’est parce que les organisations ne respectent pas les obligations réglementaires ou utilisent des solutions de sécurité qui ne sont plus à jour. La plupart des incidents peuvent être évités avec une hygiène de sécurité assez basique.   

En France, l’ANSSI est l’organisation de référence pour retrouver les bonnes pratiques à suivre. Il est recommandé d’analyser les processus digitaux critiques internes à l’entreprise de façon régulière, de développer un ensemble de bonnes pratiques IT internes à l’entreprise et de nommer un responsable de la sécurité informatique pour chapeauter ces activités.  

Concernant la perte de données, un système de permissions peut gérer qui a accès à quelles données : chaque personne et chaque fichier se voit appliquer une catégorie qui définit les droits d’accès. Cela maintient un degré élevé de sécurité pour les documents chiffrés sans perturber le travail. Une couche d’IA rend ce système plus flexible pour les employés en simplifiant les processus de validation des applications et site web accessibles sans rabaisser le niveau de sécurité.  

L’industrie financière fait face à de nombreuses attaques au quotidien, et la grande majorité de ces attaques est repoussée. Cela est dû à un travail de longue haleine de coopération entre les autorités étatiques et les institutions financières. Cependant, certains malwares continuent de passer entre les mailles du filet, et il existe des solutions simples pour rehausser encore le niveau de sécurité des organisations.