Comment des cyberbraqueurs ont dérobé au moins 300 millions de dollars à des banques

Le casse du siècle se déroule en silence, sans arme, ni violence. Des cyber-braqueurs ont attaqué les coffres d'une centaine de banques, dans 30 pays, pour un butin d'au moins 300 millions de dollars. La société russe de cybersécurité Kaspersky détaille l'opération dans un rapport (PDF en anglais) publié lundi 16 février. Francetv info explique comment le groupe de cybercriminels baptisé "Carbanak", toujours actif, a réussi cette attaque tentaculaire.

Que sait-on des cyberbraqueurs ?

Le groupe "Carbanak" dénoncé dans le rapport de Kaspersky avait déjà été repéré, en décembre, par les sociétés de conseil en sécurité Fox-IT et Group-IB. Parmi ces cyberpirates, alors appelés "Anunak" (PDF en anglais), des Russes, des Ukrainiens et des Chinois, soupçonnés d'avoir dérobé au moins 25 millions de dollars à des banques russes.

Les pertes pour les banques s'élèveraient, en fait, à au moins 300 millions de dollars. Si le chiffre d'un milliard a été avancé, "il ne s'agit que d'une estimation fondée sur des extrapolations", tempère Gérôme Billois, expert en sécurité informatique au cabinet Solucom et administrateur du Club de la sécurité de l'information français (Clusif).

Comment ont-ils touché toutes ces banques ?

Chaque attaque de banque a duré entre deux et quatre mois, entre l'infection du premier ordinateur et le vol lui-même, selon Kaspersky. C'est le temps nécessaire pour identifier la bonne cible, récolter des informations, apprendre à utiliser le système et partir avec le magot. Voici les trois étapes employées :

L'exploitation des vulnérabilités. C'est tout le principe du piratage informatique : il s'agit de trouver des failles de sécurité et de s'y engouffrer avant qu'elles ne soient corrigées. Tout cela ne serait pas possible si les systèmes informatiques des banques étaient totalement hermétiques. Par exemple, "la méthode nous révèle que les PC qui ont accès au système bancaire ont aussi une connexion internet et qu'il y a des passerelles entre les deux, ce qui crée une vulnérabilité", explique Gérôme Billois.

Le spear-phishing. Le phishing est vieux comme les e-mails. Un logiciel malveillant (ici, Carbanak, qui a donné son nom au groupe de hackers) caché dans un courriel infecte les ordinateurs des destinataires, en principe très nombreux. Le spear-phishing (harponnage) consiste à "cibler les bonnes personnes, avec les bons moyens d'attaques", résume Gérôme Billois.

Un premier ordinateur est infecté, puis le pirate peut "rebondir dans le réseau de la banque". Dans le cas de Carbanak, les "bonnes personnes" sont simplement les cadres et salariés des banques qui disposent d'accès au système bancaire depuis leurs postes de travail. "Jusqu'à présent, les cybercriminels attaquaient les clients et les sites des banques, la partie émergée de l'iceberg. Là, ils vont taper directement au cœur du système bancaire", poursuit l'expert en sécurité informatique.

L'autoformation. Les logiciels de gestion bancaire ont la réputation d'être complexes. "Si bien que les banques ont tendance à croire qu'ils ne risquent pas vraiment d'être attaqués", déplore Gérôme Billois, car les pirates ne sauraient pas utiliser les instruments dont ils prendraient le contrôle. Mais "le malware Carbanak enregistre tout ce qui se passe sur les ordinateurs ciblés", ce qui a permis aux cyber-braqueurs de se former eux-mêmes, en récupérant les codes et en suivant les manœuvres des employés.

Comment-ont ils récupéré l'argent ?

De généreux distributeurs de billets. Les pirates ont réussi à ordonner à des distributeurs automatiques de délivrer des espèces à une heure donnée, sans que personne n'agisse physiquement. Il leur a ensuite suffi de fixer des rendez-vous à des mules, chargées de récupérer les billets.

Des transferts sur des comptes de criminels. Le réseau Swift est un réseau interbancaire, qui gère notamment les transferts entre comptes. Les cyberbraqueurs sont parvenus à effectuer des virements vers des comptes de criminels, en maquillant les montants.

Des faux comptes créés. Le groupe "Carbanak" est parvenu à pénétrer jusque dans les bases de données dans lesquelles sont inscrites les coordonnées bancaires des clients afin de créer de faux comptes.

Comment les banques peuvent-elles se protéger ?

Le rapport de Kaspersky met en lumière les difficultés des grandes sociétés à maintenir à jour leurs systèmes de sécurité informatique. Mais des solutions structurelles existent : "Il faut monter des murs entre les fonctions sensibles, comme l'accès aux distributeurs de billets ou les transferts de fonds, et les connexions internet", explique Gérôme Billois.

Les banques peuvent soit réserver certains ordinateurs, non connectés à internet, à ces fonctions délicates, soit les isoler virtuellement en "coupant les passerelles entre les fonctions métier et l'internet" sur un même ordinateur. L'expert concède toutefois des difficultés, dans le cas des distributeurs de billets par exemple, qui, "pour être mis à jour, ont besoin d'être connectés à internet".

Kaspersky invite également les établissements bancaires à scanner l'ensemble de leurs systèmes informatiques à la recherche de certains fichiers, listés sur le site Securelist.