Plus que les attaques elles-mêmes, que nous résumerons dans un premier temps, c’est à la réaction du réseau interbancaire Swift que nous nous intéresserons.
Nous les évoquons régulièrement, sur notre synthèse quotidienne d’actualité #FlashDIGInews, les attaques contre des banques via le réseau Swift qui se multiplient. La première victime révélée le 13 mars dernier par BAE Systems est la Bangladesh Central Bank. Elle aurait été suivie depuis par d’autres révélations, avec les banques situées en Italie, aux Emirats Arabes Unis, au Mexique, en Iran et au Koweït. Les dernières victimes en date sont la Tien Phong Bank (Vietnam) et une banque aux Philippines.
Dirigées vers des banques adhérentes au réseau interbancaire Swift, elles ont transité par ce même réseau. Nous estimions à l’origine, et en prenant en compte les pratiques du secret, qu’au minimum une dizaine de banques ont été victimes de cette cyberattaque, mais le bilan pourrait continuer de s’alourdir, tout comme le montant global des sommes dérobées, qui se chiffe certainement en centaines de millions de dollars.
Décryptage de l’attaque
Les attaques qui transitent par le réseau Swift auraient la signature (par des similitudes dans le code) du groupe nord-coréen Lazarus. Nous parlons au conditionnel, car il s’agit d’une présomption véhiculée par des acteurs de la sécurité comme Kaspersky et Symantec, mais qui reste à vérifier ? Ce groupe ne nous est pas inconnu, il a même été largement médiatisé après l’attaque perpétrée sur Sony Pictures. L’identification du Lazarus Group a été obtenue en rapprochant des échantillons de code qui contiennent des sous-programmes de suppression des logs (log wiping subroutines) déjà identifiés. Cette paternité supposée est cependant contestée pra d’autres experts… Peu importe !
Les attaquants utilisent plusieurs outils pour s’implanter dans le réseau Swift et y naviguer. On notera également que la plupart des attaques déclarées — rappelons que le monde de la finance n’aime pas communiquer sur ses échecs, et que la liste des victimes est certainement plus longue mais demeurera cachée ! – ciblent des banques d’Asie du Sud Est, du Proche-Orient et d’Amérique Latine. Les cyberattaquants ciblent des établissements financiers vraisemblablement moins protégés que leurs homologues occidentaux.
Notons également qu’entre 2014 et le retentissant succès de l’attaque sur Sony, et les attaques d’aujourd’hui sur des banques, les pirates mafieux prennent leur temps !
La réaction de Swift
Pour Gottfried Leibbrandt, le CEO de Swift, l’attaque de banque centrale du Bengladeh marque « un grand tournant » dans l’histoire des systèmes bancaires. En revanche, il affirme que les réseaux Swift « n’ont pas été compromis ». Une affirmation quelque peu surprenante puisque les attaques ont bien transité par le réseau !
Et de réagir en annonçant 5 mesures pour rétablir la confiance dans le la sécurité du réseau interbancaire :
- Améliorer la circulation de l’information pour toute la communauté financière.
- Durcir les exigences demandées aux logiciels clients pour améliorer l’environnement local des établissements financiers.
- Développer les audits de sécurités pour les clients, renforcer les mesures de sécurité.
- Aider les services supports des banques à augmenter le contrôle de paiement pour identifier les comportements suspects.
- Mettre en place une exigence de certification pour des fournisseurs tiers.
Pour résumer, Gottfried Leibbrandt réagit aux critiques dont il est l’objet, et principalement d’avoir laissé passer les attaques dont ses clients sont les victimes, en reposant sur elles la responsabilité d’assurer à la source la sécurité des transactions. C’est certes logique, mais insuffisant. Les victimes apprécieront…
Image d’entête 77010319 @ iStock Koldunova_Anna