Cyber-braquage de la banque centrale du Bangladesh

La Banque centrale du Bangladesh est victime en février 2016 d'un piratage informatique et se fait dérober 81 millions de dollars[1] - [2] - [3].

Historique

La banque centrale du Bangladesh conservait environ un milliard de dollars de réserves au sein d'un compte bancaire de la Réserve fédérale des États-Unis (Fed) à New York, qui servait à payer les dettes et frais de conseil pour des projets gouvernementaux[4]. Les pirates informatiques ont tenté de voler quasiment l'intégralité de cette somme grâce à des virements de fonds officiellement destinés à une association, une autorité ou organisation différente au Sri Lanka ou aux Philippines[4] - [5].

Tentative de détournement de fonds vers le Sri Lanka

Les pirates informatiques demandent un virement de 20 millions de dollars vers la « Shalika Foundation », une supposée organisation à but non lucratif basée au Sri Lanka[4]. Cependant, une faute d’orthographe dans le nom de cette fondation (« fundation » au lieu de « foundation ») éveille les soupçons de la Deutsche Bank par qui l’argent doit transiter[6]. La Deutsche Bank demande des précisions à la Banque centrale du Bangladesh qui annule donc l’ordre de transfert ainsi que tous les autres ordres émanant du même émetteur[5]. La Banque centrale découvre également qu’il n’existait aucune ONG à ce nom au Sri Lanka[5] et que le compte bancaire destinataire n'avait été ouvert qu'un mois plus tôt[4].

Fonds détournés vers les Philippines

L'argent transféré aux Philippines a été déposé dans cinq comptes bancaires de la banque Rizal Commercial Banking Corporation (en) (RCBC) sous des identités fictives[4].

Identification des auteurs et soupçon sur la Corée du Nord

Le 9 mars 2016, dans un communiqué, la Fed indique que les virements ont été totalement authentifiés conformément aux protocoles en vigueur et qu'elle n'a pas identifié de piratage sur son propre système, suggérant que la faille de sécurité est à chercher du côté de l'émetteur des virements à la Banque centrale du Bangladesh[7].

Mai 2016, la société de sécurité informatique Symantec identifie que le procédé d’intrusion utilisé par les pirates du cyber-braquage comportait des traits communs avec celui employé dans la vaste attaque de Sony Pictures Entertainment fin 2014 (piratage qui avait été attribué à l'époque à la Corée du Nord en représailles à la sortie du film L'Interview qui tue ! produit par Sony Picture). La piste remonterait à un groupe de hackers nord-coréens dénommé Lazare qui est à l'origine de cyber-attaques dans 31 pays différents et menace en particulier le secteur bancaire[8].

Le 22 mars 2017, le The Wall Street Journal révèle[9] que des enquêteurs américains concluent aussi que la Corée du Nord soit probablement le commanditaire de ce cyber-braquage, commis par des intermédiaires chinois. Richard Ledgett, n°2 de l'Agence de sécurité nationale (NSA) déclare « être optimiste sur la véracité » d’un rapprochement entre les deux cyberattaques (contre Sony Picture et la Banque centrale du Bangladesh). « Si le lien est avéré, cela veut dire qu’un État est en train de voler des banques. C’est une grosse affaire ».

Conséquences

Démission du gouverneur de la banque centrale

À la suite du scandale, le gouverneur de la Banque centrale, Atiur Rahman, remet sa démission le 15 mars 2016 à la demande de son ministre de tutelle[10]. De plus, deux vice-gouverneurs sont par ailleurs licenciés[10].

Renforcement des mesures de sécurité du réseau SWIFT

Le 25 avril 2016, SWIFT demande à l'ensemble de ses utilisateurs de déployer obligatoirement une mise à jour de sécurité sur leurs applications d'accès au réseau SWIFT avant le 12 mai[11].

Identification d'autres tentatives

Le 12 mai 2016, la société SWIFT indique qu'une banque commerciale est également visée, mais sans donner son nom[12]. Dans son communiqué, la société précise que les pirates ont démontré une « connaissance détaillée et sophistiquée des contrôles opérationnels spécifiques » dans les banques ciblées et qu'ils peuvent avoir été aidés par des « collaborateurs internes malveillants ou des cyber-attaques, ou une combinaison des deux[12]. »

Le 15 mai 2016, la Tien Phong Bank (en) de Hanoï au Vietnam indique avoir subi une tentative similaire durant le dernier trimestre 2015 pour un montant d'un million de dollars[13]. La banque indique que la vulnérabilité provenait d'une application tierce - sans la nommer - utilisée pour s'interfacer avec le système SWIFT. La banque a depuis arrêté d'utiliser cette application tierce, elle a installé un nouveau système plus sécurisé qui est directement connecté au réseau SWIFT[13].

Le 20 mai 2016, Reuters révèle que la banque équatorienne Banco del Austro (BDA) est également victime de cyber-criminels, avec un schéma similaire à celui de la banque centrale du Bangladesh : une douzaine d'ordres de virements, s'étalant sur une dizaine de jours, ont été frauduleusement émis en janvier 2015 depuis un terminal SWIFT de la banque équatorienne concernant des comptes bancaires à la banque Wells Fargo. Plus de 12 millions de dollars sont transférés principalement à destination de comptes bancaires à Hong Kong, mais aussi à Dubaï et Los Angeles[14] - [15]. Environ 3 millions de dollars ont été restitués et la BDA dépose plainte en 2016 contre la banque Wells Fargo, estimant qu'elle aurait dû identifier ces transactions frauduleuses[14]. À la suite de cette publication, l'organisme SWIFT, qui n'était pas au courant de cette cyber-attaque survenue en 2015, demande à ses utilisateurs de notifier toutes les tentatives similaires[14].

Notes et références

« La banque centrale du Bangladesh se fait dérober 81 millions de dollars », Le Figaro,‎ 11 mars 2016 (lire en ligne).
Etienne Goetz, « L’incroyable cyber-braquage de la banque centrale du Bangladesh », Les Échos,‎ 13 mars 2016 (lire en ligne).
Martin Untersinger, « Des pirates informatiques dérobent 81 millions de dollars au Bangladesh », Le Monde,‎ 26 avril 2016 (lire en ligne).
(en) Rejaul Karim Byron et Md Fazlur Rahman, « Hackers bugged Bangladesh Bank system », Asia News Network,‎ 11 mars 2016 (lire en ligne [archive du 12 mars 2016], consulté le 13 mai 2016).
Sébastian SEIBT, « Des pirates informatiques échouent à voler un milliard de dollars à cause d’une faute d’orthographe », France 24,‎ 11 mars 2016 (lire en ligne, consulté le 15 mai 2016).
(en) Serajul Quadir, « How a hacker's typo helped stop a billion dollar bank heist », Reuters,‎ 10 mars 2016 (lire en ligne).
(en) « Statement on Media Reports About Bangladesh », Federal Reservce Bank of New York,‎ 9 mars 2016 (lire en ligne).
« La Corée du Nord a-t-elle pillé la Banque centrale du Bangladesh? », sur La Tribune de Genève.ch, 23 mars 2017
« La Corée du Nord accusée du piratage de la banque centrale du Bangladesh », sur Le Monde.fr, 23 mars 2017
Anne Glémarec, « Bangladesh : le gouverneur de la Banque centrale démissionne », euronews,‎ 15 mars 2016 (lire en ligne).
(en) « Swift: fraudulent messages sent over international bank transfer system : World money exchange tells 11,000 financial institutions to update their software after US$81m was stolen from account of Bangladesh central bank », The Guardian,‎ 25 avril 2016 (lire en ligne).
(en) « Second bank hit by 'sophisticated' malware attack, says Swift : The financial messaging network says a commercial bank was targeted in an attack with ‘deep knowledge of operational controls’ », The Guardian,‎ 13 mai 2016 (lire en ligne).
(en) « Vietnamese bank foils $1m cyber heist : Tien Phong Bank says it spotted the fraud on the Swift messaging system quickly enough to prevent Bangladesh-style theft », The Guardian,‎ 16 mai 2016 (lire en ligne).
(en) Tom Bergin et Nathan Layne, « Special Report: Cyber thieves exploit banks' faith in SWIFT transfer network », Reuters,‎ 20 mai 2016 (lire en ligne).
(en) Devlin Barrett et Katy Burne, « Now It’s Three: Ecuador Bank Hacked via Swift : Cybercriminals stole $9 million in 2015 from an Ecuador bank in attack similar to one against Bangladesh’s central bank about a year later », Wall Street Journal,‎ 19 mai 2016 (lire en ligne).