Cyber-sécurité

Des systèmes indigents ont facilité le cybercasse du siècle

d'Lëtzebuerger Land du 29.04.2016

La banque centrale du Bangladesh a été délestée de 81 millions de dollars par des hackers au mois de février dernier. Grâce à une enquête du groupe d’armement BAE Systems dont les résultats viennent d’être publiés, des détails émergent sur cette stupéfiante affaire dans laquelle apparaissent plusieurs autres établissements financiers et l’organisation censée assurer la sécurité des transferts financiers internationaux, SWIFT.

Une anecdote particulièrement croustillante, qui avait déjà été révélée précédemment, est que si le bilan de cette incroyable supercherie s’est limité à 81 millions de dollars, c’est grâce uniquement à une faute de frappe des hackers. Lors de la rédaction d’un ordre de transfert en faveur de la Shalika Foundation, d’un montant de vingt millions, une organisation non gouvernementale censée exister aux Philippines, l’un d’eux a écrit « Fandation », au lieu de « Foundation ». Ceci a fait tiquer au sein de Deutsche Bank par qui transitaient ces ordres de virement, ce qui a déclenché des recherches et permis de découvrir le pot aux roses. L’anomale que sont des transferts d’une banque centrale vers des entités privées, au lieu de banques, a en parallèle aussi été repérée par la Réserve fédérale de New York. Du coup, il a été possible de stopper des transferts en cours depuis le compte de la Banque centrale du Bangladesh auprès de la Réserve fédérale de New York pour un montant de près d’un milliard de dollars. Quatre transferts totalisant 81 millions de dollars déjà effectués n’ont cependant plus pu être stoppés, et l’argent frauduleusement transféré, qui aurait ensuite été canalisé vers des casinos, n’a pas été retrouvé à ce jour.

S’agissant de sommes vertigineuses, des recherches approfondies ont naturellement été lancées pour essayer de comprendre. Ce qu’elles révèlent jette une lumière crue sur l’infrastructure indigente de la banque centrale du Bangladesh. Les auteurs du cybercasse connaissaient bien le fonctionnement de celle-ci, vraisemblablement après avoir espionné ses employés, mais agissaient depuis l’extérieur du pays. On a aussi appris ces derniers jours que ses systèmes n’étaient pas protégés par un pare-feu et mettaient en œuvre un routeur d’occasion ayant coûté dix dollars. Les circuits de SWIFT, un réseau privé qui véhicule des ordres de virement plutôt que les transferts eux-mêmes, font confiance aux banques qui l’utilisent, ce qui signifie que malgré les restrictions sur les types de virement autorisés au sein du système, des hackers qui agissent depuis les serveurs mal protégés d’un des participants du réseau ont toute latitude pour batifoler sur SWIFT et modifier son système appelé Alliance Access pour lancer leurs transactions et cacher leurs traces. Le serveur contrôlant ces opérations sophistiquées était situé en Égypte. Coté recyclage des sommes volées, deux citoyens chinois possédant un compte dans une banque philippine et administrant des casinos à Macau et aux Philippines les ont virées vers des maisons de jeux philippines d’où elles se sont évaporées dans la nature grâce à l’absence dans ces établissements de procédures anti-blanchiment.

Après ce casse, il y a eu à la banque philippine, RCBC, la démission de son trésorier et la mise en examen du responsable d’une de ses filiales qui a retiré 427 000 dollars d’un compte lié à l’escroquerie. Atiur Rahman, gouverneur de la Banque centrale bangladaise a démissionné en mars. Les autorités du Bangladesh ne se montrent pas très optimistes sur les perspectives de récupérer un jour l’argent volé ou de débusquer les auteurs de l’arnaque, malgré l’aide internationale dont elles bénéficient. Le caractère éminemment international du système mis en place par les escrocs est sans doute l’une des caractéristiques les plus révélatrices de ce casse typique du XXIe siècle, qui utilise de manière ciblée des vulnérabilités détectées aux quatre coins du globe : dans ce cas les infrastructures bancaires mal protégées dans un des pays les plus pauvres de la planète, la gouvernance d’Internet peu développée en Egypte, l’absence structurelle de contrôles anti-blanchiment dans les casinos d’Extrême-Orient et la vulnérabilité des réseaux SWIFT, supposés robustes mais dont l’intégrité repose sur celle de chacun de ses participants.

Jean Lasar
© 2017 d’Lëtzebuerger Land