La banque du Bangladesh a été victime d’une attaque à deux niveaux en février 2016. De toute évidence, les dispositifs de sécurité informatique se sont révélés insuffisants: la rumeur parle ainsi d’absence de pare-feu et d’une infrastructure réseau obsolète. C’est cette faille que les malfaiteurs auraient exploitée pour s’introduire dans le réseau de la banque et accéder aux données d'accès pour les virements. Dans SWIFT Client Alliance Access, ils furent en mesure de faire usage de ces données pour s’autoriser eux-mêmes en tant que donneur d’ordre des transactions. Pour la Fed, la Banque du Bangladesh agissait en tant qu’émetteur.
Selon BAE Systems, cette faille de sécurité aurait également permis aux criminels d’installer un logiciel malveillant spécialement conçu à cet effet dans le serveur SWIFT Alliance. Ce malware avait pour objectif de manipuler les messages de confirmation du réseau SWIFT et de désactiver la protection contre les accès à la base de données. Les transactions effectuées n’ont par conséquent pas été consignées correctement, et ce, afin d’effacer toute trace du méfait.
L’attaque des hackers a complètement neutralisé les mécanismes de sécurité de SWIFT, ouvrant aux malfaiteurs des possibilités presque illimitées. Le montant total des transactions demandées était en fait de 951 millions de dollars américains. Ce n’est qu’une erreur de saisie assez inhabituelle, incitant une banque du Bangladesh impliquée dans le processus à s’enquérir de la validité d’un virement, qui a permis de révéler l’escroquerie. Toutefois 81 millions de dollars avaient déjà été virés et avaient déjà disparu dans des casinos et chez des particuliers philippins. En mars 2016, Atjur Rahman, directeur de la banque centrale du Bangladesh ainsi que ses adjoints n’ont eu d’autre choix que de démissionner de leurs fonctions.
SWIFT a pour sa part reconnu que des messages frauduleux avaient été envoyés à plusieurs reprises par le biais du réseau au cours des derniers mois. En mai 2016, une banque commerciale avait ainsi été victime d’une escroquerie similaire : des criminels s’étaient introduits dans les systèmes informatiques pour y accéder à des données utilisateurs et manipuler des messages. Des mises à jour doivent maintenant combler les lacunes de sécurité constatées dans le logiciel SWIFT.
Bien que SWIFT souligne le fait que l’attaque ne remet pas en cause la sécurité du réseau, mais plutôt celle des systèmes utilisés pour y accéder, cette mésaventure illustre tout le dilemme des réseaux fermés internationaux. Même en déployant des moyens techniques importants, il est impossible de les cloisonner complètement. Outre le logiciel de l’exploitant du réseau, les systèmes bancaires environnants peuvent également présenter des failles, sans parler de collaborateurs mal intentionnés qui peuvent se rendre complices d’escroqueries. Une fois l’accès obtenu, tout un monde de possibilités s’ouvre aux malfaiteurs – d’où leur motivation. EBICS est un procédé qui utilise l’Internet – ouvert par définition – et qui met en œuvre un concept de sécurité misant sur des clés tant pour la cryptographie que pour l’authentification. Cette approche constitue une alternative face aux réseaux fermés.
Au vu des dommages potentiels énormes, il est impératif de mettre en place une protection exhaustive des transactions tant interbancaires qu’entre banques et entreprises. Et il faut s’attendre à une recrudescence des cyberattaques telles que celles décrites ci-avant. Pour y faire face, les mesures de sécurité des procédures et des systèmes informatiques des banques et celles applicables au personnel doivent être parfaitement imbriquées.
Michael Lembcke
