Quand les hackeurs prennent pour cible les banques : quels moyens, quels dangers pour les utilisateurs ?

0

Il existe aujourd’hui, et bien malheureusement, de nombreux types d’organisations et entreprises victimes de cyberattaques, mais il est à souligner que certaines d’entre elles restent des cibles privilégiées des hackeurs. Par exemple, les organisations du domaine de la santé, comme nous avons pu le voir ces derniers mois à travers les nombreux exemples d’attaques de type ransomware qu’elles ont connu, font partie de ces favorites, dû au large éventail de précieuses données qu’elles détiennent.

Les banques, grandes et petites, sont donc aujourd’hui devenues une cible de choix pour les hackeurs. D’ailleurs, cette dernière année a vu un nombre croissant de cyber-attaques dans ce secteur, aux procédés les plus originaux et imaginatifs, sans aucun signe de ralentissement. Malwares et ruses pour avoir un accès illimité aux distributeurs de monnaie, fausses applications mobiles, campagnes de phishing envoyées au public ou en interne : nous verrons ici quelques exemples des attaques, aux conséquences parfois colossales, qui leur sont adressées. Nous verrons aussi comment les clients de ces banques peuvent se protéger de ces attaques, dont ils sont les dommages collatéraux, mais aussi comment expliquer une telle poussée de ces cyber-menaces.

  • Des attaques virulentes aux cibles multiples

Comme évoqué précédemment, les attaques ciblant le secteur bancaire n’ont fait que croitre tant en nombre qu’en complexité. En effet, plus nombreuses, les attaques sont aussi plus virulentes, puisqu’elles peuvent désormais cibler plusieurs points centraux des établissements de façon simultanée.

Mais alors, comment expliquer une telle poussée de la menace ? Pour beaucoup, le responsable est tout désigné : la banque en ligne.

Mais il serait sommaire de ne se limiter qu’à cette cause. Voyons ici quelques une des cyberattaques les plus marquantes contre les banques pour en comprendre les procédés et les motivations.

  • Quelques procédés utilisés ces dernières années

Phishing et intrusion :

En 2013, une vague de cyberattaques d’un genre nouveau vise un grand nombre de banques. Les hackers ont utilisé un nouveau malware, baptisé Carbanak, qui a infiltré les banques à travers des campagnes de phishing (pièce-jointe malveillante).

Une fois installé, le programme a alors infecté tout le réseau (dont les équipements administrateurs ayant accès aux caméras de vidéosurveillance, qui, nous le verrons étaient l’élément clé du processus malveillant mis en place).

Les hackers ont alors observé durant des jours entiers les allées et venues du personnel de ces banques, enregistrant au passage l’ensemble des étapes de sécurité s’affichant sur les écrans (codes d’accès…), pour finalement réussir à accéder aux comptes tant convoités et repartir avec le butin.

Banque du Bangladesh, Swift et fautes d’orthographe :

La tentative d’hold-up s’élevant à 81 millions de dollars à la Banque centrale Bangladaise début 2016, a lui aussi, frappé les esprits pour une raison simple et identique au procédé évoqué précédemment : les hackers à la base de ce piratage ont eu accès à cette somme astronomique, sans avoir eu besoin de creuser le moindre tunnel ou faire exploser un seul bâton de dynamite.

Il faut dire que cette affaire a, en parallèle, mis en exergue les failles d’un des piliers de l’échange mondial de capitaux, SWIFT.

Pour rappel, SWIFT est le numéro d’identification internationale d’une banque créé dans le but de faciliter les virements internationaux. A cette époque, 11 000 banques l’utilisent pour transférer des fonds, représentant plus de 25 millions d‘ordre de virement par jours.

La banque centrale du Bangladesh conservait environ un milliard de dollars de réserves au sein d’un compte bancaire de la Réserve fédérale des États-Unis, qui servait à payer les dettes et frais de conseil pour des projets gouvernementaux. Les pirates informatiques ont donc tenté de voler quasiment l’intégralité de cette somme grâce à des virements de fonds « officiellement » destinés à une association, une autorité ou organisation différente au Sri Lanka ou aux Philippines. Malheureusement, la tentative malveillante a vite pris fin : la faute d’orthographe dans le nom de cette fondation (« fundation » au lieu « foundation ») a éveillé les soupçons de la Deutsche Bank par qui l’argent devait transiter. L’ordre de transfert a donc été annulé, et le compte émetteur des demandes blacklisté. Une tentative échouée, donc, mais au procédé tout même ingénieux.

Quand les distributeurs de billet sont pris pour cible :

Aussi nommé “jackpotting”, ce procédé est particulièrement efficace aux US : en effet, si nos distributeurs européens sont souvent situés prêts – ou même à l’intérieur d’une banque – leurs cousins américains, quant à eux, sont parfois disposés bien loin d’une banque.

Le but visé par cette technique est simple : vider le distributeur de l’intégralité de son contenu. L’attaque se passe ainsi : une première personne arrive, déguisée, par exemple, en technicien, chargé de la maintenance de ces distributeurs.

Elle se présente pour une intervention, sort une clé achetée en ligne qui permet d’ouvrir la machine, débranche la connexion avec le réseau en ligne et parvient à pirater le système informatique du distributeur.

Cette technique a par exemple été utilisée – en combinaison avec notre premier spyware Carbarnak », en 2017 : deux banques russes sont visées en une nuit, 8 machines sont vidées de leur contenu. Au total, les cybercriminels emportant une somme de huit-cent-mille dollars.  Le braquage n’a laissé, au premier coup d’œil, aucun signe d’intrusion ni indices (pas même la trace d’un malware). Mais cette attaque, qui était jusque-là un tour de force parfait, va être compromis par l’oubli de deux fichiers informatiques appelés « fichiers logs. » sur les machines attaquées. Ces derniers ont retenu toutes les informations concernant le système de piratage utilisé.

De nouvelles attaques récemment recensées :

Il y a quelques jours, plusieurs organismes financiers néerlandais ainsi que l’équivalent du Trésor public français disent avoir été la cible d’une attaque DDOS (attaque massive par déni de service) visiblement coordonnée.

Cette attaque, ayant paralysé l’accès aux services bancaires mobiles et en ligne, est l’une des plus inoffensives pour les victimes, car elle ne permet pas aux personnes malintentionnées de voler des données. En revanche, une coupure temporaire des systèmes entraîne inévitablement une perte d’argent pour les banques touchées.

Encore une fois, c’est d’ailleurs un phénomène commun à nos 3 types d’attaques, l’origine de ces cyberattaques reste indéterminée –  alors que des premiers rapports pointaient du doigt la Russie comme étant le pays d’où ces dernières ont été lancées.

  • Banques ou utilisateurs : comment se prémunir d’une cyberattaque ?

Les banques ont investi des montants massifs pour développer leur sécurité informatique au cours des dernières années. Cependant et malheureusement, l’exposition à laquelle elles font face augmente aujourd’hui à un rythme plus important que les montants pour l’instant investis.

Cette année encore, les banques devront faire de la cybersécurité une haute priorité en se munissant de solutions en sécurité informatique appropriées et tout aussi innovantes que les procédés malicieux des hackeurs.  Cette priorité, si elle est tout aussi importante pour le reste des entreprises, et d’autant plus centrale pour les banques car les clients veulent aujourd’hui avoir l’assurance et la confiance qu’ils traitent avec une banque sécurisée et détourneront leurs fonds en conséquence.

ITrust développe d’ailleurs plusieurs solutions qui peuvent accompagner cet élan cyber-sécuritaire comme IKare, son scanner de vulnérabilités mais aussi et surtout Reveelium, un outil d’analyse comportementale implémentée d’Intelligence Artificielle. Ce dernier pourra accompagner les institutions bancaires, grâce à ses algorithmes combinant des analyses statistiques poussées, à développer une meilleure protection en détectant les menaces auparavant inconnues et les comportements anormaux sur les systèmes d’information.

Aussi, les banques devront, pour appliquer au mieux une sécurité informatique sans faille, penser à former son personnel à travers des formations mais aussi des exercices pratiques. Nous vous parlions, la semaine dernière, de l’importance du facteur humain dans un grand nombre de cyber-attaques – au sein des banques, cette formation est d’autant plus importante que les hackeurs utilisent des tactiques toujours plus originales afin de les piéger.  Clés usb « perdues » sur des parkings, systèmes aux caméras de surveillance piégées, attaque des données personnelles des clients : il faudra donc faire en sorte que les salariés du secteur bancaire aient une vraie culture de la sécurité et qu’ils sachent premièrement anticiper et reconnaitre des tentatives d’attaques et réagir lorsqu’elles se produisent.

Pour les utilisateurs, même s’ils sont dépendants de la confiance qu’ils mettent dans les mains de leurs banques, les bonnes pratiques en sécurité informatique sont à garder en tête et à appliquer au quotidien. Bien évidemment, pour les utilisateurs de banques en ligne, il faudra penser à mettre en place des mots de passes et codes efficaces – et ne pas noter tout ça sur un post it dans votre portefeuille ! –  pour protéger vos données.

Enfin, il est à noter qu’un nombre important de tentatives de piratage par phishing aux couleurs de banques se propagent aujourd’hui – soyez vigilants et ne donnez surtout pas vos coordonnées bancaires par mail ou sur une plateforme non-sécurisée ou qui vous parait suspecte.

Le secteur des services financiers est constamment menacé par les hackeurs et les méthodes qu’ils utilisent pour tenter de s’infiltrer dans les systèmes de sécurité des banques deviennent chaque jour plus sophistiquées et étudiés. Ce problème de sécurité n’est d’ailleurs pas uniquement rencontré par les banques et le milieu bancaire : n’importe quelle entreprise qui pourrait être prise pour cible de la sorte.

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply