Les cybercriminels ciblent les banques
Historiquement centrées sur les utilisateurs et l’e-banking, certaines attaques commencent à atteindre le cœur du système informatique. Le niveau de protection interroge.
Représentation d’un cheval de Troie bancaire, redoutable outil de cybercriminalité.
Crédits: Posteriori/Getty imagesLe secteur bancaire suisse se serait bien passé de ce retour. Le malware Retefe, qui avait déjà causé en 2018 jusqu’à une centaine de détournements quotidiens depuis les comptes de clients des banques, a été signalé de nouveau en avril. L’attaque débute par un e-mail frauduleux, faisant mine de provenir d’un site d’e-commerce ou de l’Administration fédérale des contributions. Le système est alors infecté par l’ouverture d’une pièce jointe, permettant aux criminels de modifier les paramètres du navigateur, et les portails d’e-banking peuvent ensuite être redirigés. L’utilisateur croit être sur sa page d’e-banking, entre ses accès qui sont alors repris par les hackers pour effectuer des paiements ou versements jusqu’à vider le compte.
Les particuliers ne sont plus les seuls touchés par ce type de menace. Particulièrement actif en 2018, Gozi cible quant à lui non seulement les utilisateurs individuels mais aussi une partie spécifique des systèmes d’information des entreprises, comme le décrit Marc Henauer, chef de section à la Centrale fédérale de sécurité de l’information Melani: «Gozi peut agir offline et ainsi cibler des solutions intégrées de comptabilité, connectées à une banque par une application et destinées à effectuer automatiquement les paiements.»
Gozi n’est pas seul sur le créneau puisque Dridex, autre cheval de Troie bancaire,
a aussi sévi selon un mode opératoire proche. «Jusqu’alors les criminels touchaient un grand nombre d’utilisateurs avec des montants faibles, mais aujourd’hui on voit se développer une cybercriminalité ciblée sur des montants beaucoup plus importants.»
La manne attire les cybercriminels, et jusqu’à deux tiers des signalements recensés en 2018 concerneraient le système financier. Une situation que comprend Joël Winteregg, CEO de NetGuardians qui développe une solution de cybersécurité et travaille avec plusieurs banques suisses: «Certaines bandes organisées ont tendance à basculer depuis des business comme le trafic de drogue vers le crime financier, qui est plus discret et n’implique pas, par exemple, de transferts physiques. C’est un marché gigantesque.»
Des attaques récurentes
La situation préoccupe les autorités. Mark Branson, directeur de la Finma, considère la cybercriminalité comme «le principal risque opérationnel pour le système financier», relevant dans une interview au journal dominical SonntagsZeitung que «le secteur financier est de plus en plus connecté et donc de plus en plus vulnérable». D’autant plus que le même type d’attaque revient régulièrement par vagues et traduit l’incapacité des banques à écarter définitivement les risques. Gozi a ainsi été identifié la première fois en 2009. Stéphane Zrehen, fondateur de la société de cybersécurité Agam à Lausanne, explique le phénomène: «Les antivirus repèrent la signature, c’est-à-dire l’empreinte digitale du malware. Il suffit de changer quelques lignes de code pour n’être plus détecté, c’est pourquoi 98% des attaques proviennent de variantes du répertoire existant.»
Pour y parer, des solutions comme celles développées par Agam ou NetGuardians analysent le comportement de l’utilisateur ou de l’attaquant, ce que détaille Joël Winteregg: «Jusqu’alors, l’essentiel de l’investissement des banques passait sur la première ligne de défense, autour de l’encryption, l’authentification avec notamment le scan de QR codes. Désormais, les banques commencent à se pencher sur les boucles de transactions pour repérer des écarts, des paiements suspects passés depuis ou vers des destinations inhabituelles, par exemple. Il est essentiel d’adapter la démarche au cas par cas, au risque de bloquer ou de ralentir des transactions réellement passées par l’utilisateur.»
Epée de Damoclès sur les banques
Si les cyberattaques touchent l’ensemble de la sphère économique, une étude menée en 2018 par Accenture dans une vingtaine de pays démontre que le secteur banque/finance paie le plus fort tribut avec un coût annuel moyen de 18 millions par entreprise analysée. Agam a mené plusieurs tests d’intrusion auprès de banques de la place et est parvenue dans certains cas à identifier en quelques minutes des failles permettant à un hacker d’injecter des outils dans le système. Un constat qui interroge, mais qu’explique en partie le spécialiste: «Les outils classiques de défense ont des limites et fournissent une vision fragmentée des attaques. Ces dernières années, les solutions de blocage automatique ont fait beaucoup de progrès et commencent à être adoptées progressivement. Cela étant, on a affaire à une industrie plutôt conservatrice et soumise à un impératif de continuité de service sur lequel ont été bâties la plupart des infrastructures informatiques. Le fait que la cybersécurité n’ait pas été intégrée dès la conception les rend très complexes à protéger.»
Bilan a contacté plusieurs banques de la place pour évaluer les investissements en cybersécurité, le coût du cybercrime et la perception de la menace. Aucune réponse. Seule Swissquote nous a fait savoir que le sujet est «très sensible» et qu’elle ne veut «pas publier d’information». Un silence qui n’occulte pas la sophistication croissante de la cybercriminalité, illustrée notamment par l’attaque au cœur du système informatique de la Banque centrale du Bangladesh par l’organisation Lazarus – supposément depuis la Corée du Nord – soldée par le vol de 80 millions de dollars. Même si aucune attaque de cette ampleur ou interruptions prolongées de service n’ont été à ce jour signalées en Suisse, Marc Henauer, de Melani, invite à la vigilance: «Ces attaques démontrent la tendance des cybercriminels à investir plus de temps lors des attaques afin d’augmenter leurs gains.»
