Le cyber-braquage, une nouvelle ère de menaces IT pour les banques

Le secteur financier a beau prendre en main sa cyber-défense avec la plus grande attention, de récentes études ont démontré que les institutions financières sont 300 fois plus vulnérables aux cyberattaques que les organisations dans n’importe quel autre secteur.

Dans son dernier rapport d’évaluation publié le mois dernier, la Banque de France incite fortement les banques françaises à adapter leur dispositif de sécurité informatique en profondeur. Le conseil est judicieux, surtout si l’on considère que les sociétés de services financiers seront toujours des cibles alléchantes pour les cybercriminels.

Il faut non seulement faire face à une augmentation de la fréquence de ces attaques, mais également à un changement de leur nature : elles sont devenues plus sophistiquées et plus difficiles à détecter. De nos jours, nous entendons plus rarement parler de vols de banque au sens traditionnel, commis par des hommes masqués armés menaçant le personnel et s’enfuyant avec des liasses de billets. Cette année a marqué les esprits avec une nouvelle vague de vol de banques : le cyber-braquage. En février dernier, les cybercriminels ont réussi à voler 81 millions de dollars américains depuis un compte géré par la Banque Centrale du Bangladesh. Les instructions pour voler l’argent étaient communiquées via le réseau du SWIFT (Society for Worldwide Interbank Financial Telecommunication), dont le rôle est de faciliter les transactions financières pour plus de 10 000 institutions financières dans 212 pays.

Les criminels ont accédé aux certificats de transfert de paiement en infiltrant le système informatique de la banque du Bangladesh, ceci à l’aide un malware récupérant les informations des procédures opérationnelles pour les paiements internationaux et transferts de fonds, suggérant que l’organisme avait été infiltré. En un mois, les hackers ont réussi à découvrir les mots de passe nécessaires pour autoriser leurs transactions.

De façon ironique, la faute humaine fut salvatrice. S’il n’y avait pas eu d’erreur orthographique dans l’une des requêtes de transfert, les dommages auraient pu atteindre jusqu’à 1 milliard de dollars américains. Cette faute a mis la puce à l’oreille, poussant la Deutsche Bank à demander des clarifications à la Banque Centrale du Bangladesh. La transaction fut stoppée, une vingtaine de millions de dollars additionnels destinés aux Philippines ont été retrouvés et trente autres demandes de transfert, représentant environ 951 millions de dollars, furent bloquées.

Il fut ensuite découvert qu’une attaque similaire vers une plus petite banque vietnamienne l’année dernière fut utilisée comme test avant de lancer l’assaut vers le compte du Bangladesh à la Federal Reserve Bank de New-York. TPBank a informé les régulateurs du pays en question de l’existence d’une cyber attaque qui utilisait des messages frauduleux du SWIFT pour essayer de transférer plus d’un million d’euros de fonds. BAE Systèmes a également analysé deux échantillons du malware des attaques vers le Bangladesh et le Vietnam, les résultats furent similaires, confortant l’idée du lien entre ces deux cyber-braquages.

Ces deux brèches mettent en avant les vulnérabilités des connections des banques vers le système de messages du SWIFT, et démontrent le niveau d’organisation et de sophistication des hackers. Un élément particulièrement parlant du cyber-braquage du Bangladesh est la vulnérabilité de la supply chain, un thème que nous voyons se développer dans le paysage de la cybersécurité au sens large. Même si l’entreprise renforce sa sécurité, les prestataires externes et autres tiers peuvent être moins résistants  aux attaques ; une infection dans l’un de ces réseaux pourrait se propager facilement. Dans son rapport d’évaluation, la Banque de France confirme cette tendance : "La dépendance du secteur bancaire à l’informatique et le mouvement d’externalisation de fonctions sensibles le rendent plus vulnérable aux risques opérationnels, et notamment aux cyberattaques"

En conséquence, qu’il s’agisse des accès du dirigeant de l’entreprise ou des prestataires de maintenance, les réseaux internes représentent une véritable menace. Cela nous démontre que les périmètres de contrôle comme les pare-feu et les antivirus ne sont pas suffisants : la menace est déjà à l’intérieur. Les institutions financières, qui sont particulièrement ciblées par les cybercriminels à cause de l’importance de leurs données et de la taille de leurs réseaux, ont besoin d’une bonne visibilité à l’intérieur de leurs frontières si elles veulent réagir aux attaques à temps.

Les chiffres sont effrayants : les entreprises ciblées mettent en moyenne 208 jours pour réaliser que leurs systèmes ont été compromis. De plus, 67% des responsables des banques d’investissement pensent qu’une attaque est hautement envisageable et pourtant seulement 9% testent quotidiennement leurs systèmes de manière proactive. Avec les mesures de sécurité actuelles, les dommages seront irréversibles lorsque les banques auront réalisé que leurs systèmes ont été compris. La nature des attaques est devenue plus sophistiquée, l’approche des banques doit également le devenir. Etablir une forteresse contre les menaces externes n’est plus suffisante, il est maintenant temps de surveiller l’interne.