Bilan

Cybercriminalité: la Suisse sur la défensive

Avec 1 milliard de dollars hackés aux banques du monde entier, les cyberattaques entrent dans une nouvelle ère. Quelles sont les dispositions prises par la Confédération et ses entreprises?
  • Depuis fin 2013, les hackers ont infiltré plus de 100 banques dans une trentaine de pays, dont la Suisse.

    Crédits: Enrico Fianchini/Getty Images
  • Directeur adjoint de Melani, l’organe fédéral chargé de la cybersécurité, Max Klaus n’est pas inquiet.

    Crédits: Béatrice Devènes

Les chiffres donnent le vertige: des cyberattaques auraient causé des pertes estimées à près d’un milliard de dollars aux banques du monde entier. C’est le constat alarmant du dernier rapport Kapersky Lab, le laboratoire russe de cybersécurité. 

Les hackers ont été actifs depuis fin 2013 et ont infiltré plus de 100 banques dans une trentaine de pays, parmi lesquels, selon les autorités d’Europol et d’Interpol, la Russie, l’Ukraine, les Etats-Unis, la Chine, le Canada, la France, l’Espagne, l’Inde, l’Angleterre et également la Suisse.

Les plus grosses sommes volées, à chaque cyberraid, étaient de l’ordre de 10 millions par institution. Chaque cybercambriolage a pris entre deux et quatre mois, entre le moment de l’infection du premier ordinateur du réseau bancaire jusqu’à la disparition de l’argent.

La méthode suivie par le cybergang, dénommé Carbanak, est la suivante: la première porte d’entrée visée est l’ordinateur d’un employé. Il est infecté par un malware, grâce à une méthode de spear phishing. Le spear phishing est une fraude par e-mail qui permet d’accéder à des données sensibles.

L’ordinateur infecté permet aux cybercriminels de voir et d’enregistrer tout ce qui s’y passe et d’accéder aux écrans des employés qui s’occupent du transfert de cash, relève le rapport Kapersky. Les hackers ont pu ainsi répliquer l’activité du personnel pour transférer de l’argent.

Il y a ensuite plusieurs méthodes pour sortir l’argent. Soit par l’e-payement pour transférer l’argent sur un autre compte en Chine ou aux Etats-Unis, soit via les comptes clients. En prenant un compte qui n’a que 1000  dollars, les criminels vont le gonfler à 10  000  dollars pour s’en transférer 9000. Le client ne remarque rien puisque la somme originale sur son compte n’a pas bougé.

La dernière méthode consiste à prendre le contrôle des distributeurs de cash et d’en faire sortir de l’argent au moment où un complice est présent pour récupérer les billets. Un client de Kapersky a ainsi perdu 7,3  millions de dollars en retraits frauduleux aux distributeurs.

«Ces attaques soulignent à nouveau que les criminels vont exploiter toutes les vulnérabilités de chaque système (…); aucun secteur ne peut se considérer à l’abri», avertit Sanjay Virmani, le directeur du Centre de crime digital d’Interpol.

La Suisse est-elle prête à faire face à ces attaques de grande ampleur? Pour Max Klaus, directeur adjoint de Melani, l’organe fédéral chargé de la cybersécurité, il n’y aurait pas de quoi s’alarmer: «A ma connaissance, aucune banque suisse n’a été victime de ces attaques Carbanak. Nous sommes en contact avec plus de cinquante banques et nous n’avons jamais eu ce type d’information. Nous avions déjà émis un avertissement en novembre 2014 sur Carbanak.»

Difficile d’évaluer l’ampleur des dégâts sur les cyberattaques, l’organe fédéral reste très discret, d’autant plus que les entreprises n’ont pas d’obligation de les annoncer. Max Klaus souligne toutefois une sophistication des méthodes: «Elles sont toujours plus élaborées et professionnelles, les hackers investissent plus de temps et sont donc plus difficiles à détecter.»

En 2012, le Conseil fédéral a approuvé la stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC). Le but: les réduire à travers une série de mesures et surtout une étroite collaboration entre les autorités, les milieux économiques et les exploitants d’infrastructures d’importance vitale.

Le mandat de Melani est donc d’assurer la cybersécurité des infrastructures vitales, à savoir les banques, l’énergie, le transport et la santé (hôpitaux et assurances). Pour ce faire, elle dispose d’un réseau d’alerte international, couplé à un portail d’information sécurisé et fermé à destination des infrastructures vitales.

Pour le reste, le fonctionnement est volontairement opaque. Impossible de divulguer les stratégies et les tactiques adoptées. La tradition helvétique du secret plane aussi et donne une impression de cybersecret bancaire.

Un rapport préoccupant

Dormir en paix, puisque, du côté fédéral, on veille sur nous? Ce n’est pas pour Cédric Jeanneret, fondateur d’ethack, un site citoyen de hacking éthique. Pour tester la solidité des connexions SSL entre les banques et leurs clients, il a lancé une application, banquignols, pour évaluer 186 établissements financiers suisses.

Les résultats sont inquiétants: la moyenne, à l’heure actuelle, n’est que de 7,70 sur 12 pour les sites d’e-banking. «Elle devrait être d’au moins 8,5 voire 9, sachant que, sur un plan purement technique, le 9 est facilement accessible», souligne Cédric Jeanneret,

«Dans une place financière comme la Suisse, je m’attendais à des notes plus élevées, je tiens à préciser que le test ne porte que sur les connexions et en aucun cas sur la partie applicative.» Rassurant? Pas vraiment. Le cas de la BCGE, qui s’est fait pirater des données clients début janvier, montre que les banques suisses ne sont pas inviolables.

Selon l’organe fédéral de cybersécurité, le coffre-fort virtuel semble bien scellé. Pour des raisons évidentes, le Melani reste discret sur les stratégies adoptées pour se protéger de la cybercriminalité, mais Max Klaus souligne que «les banques en Suisse sont très bien protégées». Avec la sophistication des attaques, l’avenir nous montrera la solidité du système mis en place.

Didier Bonvin

Aucun titre

Lui écrire

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info


Image Footer

"Tout ce qui compte.
Pour vous."