Fraude sur Swift : plusieurs banques sont touchées

Reynald Fléchaux,

Dépouillée de 81M$ par des cybercriminels, la banque centrale du Bangladesh n’est pas la seule à avoir été victime d’un malware conçu pour infecter un logiciel se connectant au réseau Swift. Le cœur du réacteur des échanges financiers internationaux est ébranlé.

La banque centrale du Bangladesh n’est pas seule. Dans un message envoyé à ses clients, Swift, le réseau international utilisé par des milliers de banques et établissements financiers dans le monde pour transférer chaque jour des milliards d’euros, confirme avoir décelé « un certain nombre de cyber-incidents », au cours desquels des assaillants ont envoyé des messages frauduleux sur son système « depuis des systèmes back-office, des PC et des stations de travail connectés par une interface locale au réseau Swift ». Dévoilée par Reuters, l’alerte, envoyée de façon confidentielle par Swift sur son réseau, ne précise ni les noms des victimes, ni les montants en jeu.

Bref, Swift reconnaît que la fraude dont a été victime la banque centrale bangladaise, qui a vu un de ses comptes délesté de 81 M$, n’est pas un cas isolé. Rappelons que, selon la firme anglaise BAE Systems, ce détournement résulte d’un malware ciblant un logiciel client de Swift appelé Access Alliance. Cette souche infectieuse, dénommée evtdiag.exe, peut ainsi effacer des enregistrements de transferts sortants, intercepter des messages entrants confirmant les ordres passés par les hackers ou encore manipuler des soldes sur des enregistrements afin de couvrir la fraude.

Si les mécanismes mis en œuvre sont sophistiqués et ont permis aux hackers de couvrir leurs méfaits le temps de faire disparaître une bonne partie des fonds de la banque bangladaise, les criminels ont aussi bénéficié des négligences de cet établissement pour s’introduire sur les systèmes donnant accès à Swift. La semaine dernière, la police du Bangladesh a souligné les lacunes patentes de la banque en matière de cybersécurité. Y compris sur des mesures basiques, comme la présence de firewall. Les cybercriminels auraient profité de ces failles pour s’introduire sur le réseau de la banque centrale bangladaise, et récupérer des codes d’accès au réseau Swift en espionnant les employés de l’institution. Un procédé classique.

Swift rend obligatoire l’update

Dans son alerte confidentielle, Swift explique d’ailleurs que, dans la plupart des cas, le modus operandi des cybercriminels est similaire, et passe par la récupération de codes d’opérateurs ayant un accès légitime à Swift. Une étape pour les cybercriminels  avant d’exploiter le malware pour émettre des virements frauduleux et en masquer les traces. Choisi par la banque centrale du Bangladesh pour enquêter sur la fraude dont elle a été la cible, FireEye estime aussi que le groupe de cybercriminels à l’origine de cette attaque a probablement multiplié les tentatives. Dans un e-mail envoyé à Reuters, le responsable Asie-Pacifique de Mandiant, la filiale de la société américaine spécialisée dans la réponse aux incidents, explique « avoir observé une activité chez d’autres organisations des services financiers, activité qui émane probablement du même groupe que celui ayant attaqué la Banque du Bangladesh ».

Swift, société de droit belge détenue par quelque 3 000 institutions financières dans le monde, a par ailleurs publié une mise à jour de sécurité de son logiciel client, update qui sera obligatoire à partir du 12 mai a indiqué la coopérative. La mise à niveau doit aider les institutions financières à identifier les situations où des cybercriminels ont tenté de masquer leurs traces, soit via le malware, soit manuellement.

Dans un communiqué, public cette fois, l’institution internationale insiste aussi sur la nécessité pour les banques de renforcer leur sécurité, afin d’empêcher la première contamination et le vol des codes d’accès de leurs employés. « Pour les utilisateurs, la défense clef contre de tels scénarios d’attaque reste la mise en place de mesures de sécurité appropriées au sein de leurs environnements locaux afin de préserver leurs systèmes – en particulier ceux ayant accès au réseau Swift – contre des menaces de ce type », écrit l’institution. 11 000 banques et autres établissements financiers utilisent le réseau de la société de droit belge, mais seulement une partie d’entre eux emploient le logiciel Alliance Access.

A lire aussi :

Cybersécurité : les 5 erreurs fatales de Mossack Fonseca

Ingénierie sociale : les employés sont-ils le maillon faible de la cybersécurité ?