Le secteur financier à l’ère du numérique : une mine d’or pour les voleurs du cyber-espace

Courant avril 2017, l’entreprise de cyber-sécurité russe Kaspersky Lab a dénoncé l’activité criminelle d’un groupe de hackers appelé BlueNoroff, ou encore Lazarus. Ce groupe probablement nord-coréen viserait principalement les institutions financières, privées et publiques, à travers le monde entier, du Costa Rica à la Thaïlande en passant par l’Inde, le Gabon ou la Pologne.

En effet, en début d’année, c’est le site internet de l’Autorité de Supervision Financière Polonaise qui a été détourné en vue de distribuer des malwares aux utilisateurs, tandis que l’Autorité financière mexicaine se serait elle aussi faite attaquer, et selon le même modus operandi. Si aucune preuve de détournement financier n’a encore été apportée sur cette affaire, d’autres institutions mondiales connaissent ce phénomène, appelé à croître à l’avenir.

Le secteur bancaire de plus en plus sujet aux attaques informatiques

A l’instar de la Banque Centrale du Bangladesh qui a perdu 81 millions de dollars en 2016 lors d’une cyberattaque – également attribuée au groupe Lazarus -, le magazine Financier Worldwide estime que plus de la moitié des cinquante plus grosses banques mondiales aurait été victime de cyberattaques au cours des dix dernières années, créant une perte de plus d’un milliard de dollars (un chiffre revu à la hausse par d’autres).

Parmi les attaques cyber-criminelles, deux méthodes semblent être privilégiées par les attaquants : le spear phishing et la délivrance de malwares.

Le spear phishing consiste à envoyer des e-mails malveillants à un destinataire ciblé afin de récupérer le contrôle d’une information ou d’une machine. Les cyber-criminels peuvent en effet se faire passer pour des collègues ou des clients des banques concernées et demandent aux destinataires des informations confidentielles.

L’autre méthode, qui peut découler du spear phishing, est l’utilisation d’un malware (malicious software). Cet outil est également davantage utilisé afin de contrôler les ordinateurs des clients des banques : lorsque le client entre ses identifiants sur le site internet de sa banque, le programme-pirate récupère ces informations, ce qui laisse ensuite le hacker libre de pénétrer sur les pages confidentielles de compte bancaire. Le malware “GameOver Zeus”, identifié en 2011 et basé sur le célèbre Zeus, est par exemple l’un de ces programmes voleurs d’identifiants bancaires.

A titre d’exemple, la banque Tesco a été victime à l’automne 2016 d’une opération de ce genre. En effet, des hackers ont réussi à dérober plus de 2 millions de livres sterling (soit environ 2,4 millions d’euros) en ayant accès aux comptes de 9 000 utilisateurs.

Selon un article de CSO, plus de la moitié des cyber-attaques se concentrerait exclusivement sur les services financiers et le e-commerce. Et cette menace va s’accentuer : on recense une augmentation de 40% des cyber-attaques visant le secteur bancaire entre 2014 et 2015, soit un montant estimé à environ 3 000 milliards de dollars, un chiffre appelé à doubler d’ici 2021. Effectivement, les banques sont conscientes de ce risque : 65% des dirigeants bancaires reconnaissent que les risques informatiques auront un impact plus fort sur leur activité dans les deux prochaines années.cyberholdup-stats-1024x908

Pourquoi les banques représentent-elles des cibles si séduisantes pour les hackers ?

Les (cyber)criminels vont d’abord là où l’argent se trouve. Ainsi les banques représentent un objectif intemporel.

Par ailleurs, les banques ont suivi l’informatisation de la société en développant des produits qui leur sont propres tels que les systèmes de banque en ligne, de transactions financières internationales et de paiements informatisés (sur le modèle Paypal, par exemple). De même, l’utilisation de ces applications sur téléphone mobile, et l’essor de l’Internet des Objets plus généralement, augmentent la surface d’attaque pour les hackers : plus les opérations financières dématérialisées auront lieu, plus il y aura d’opportunités d’infiltration.

Les banques, et plus particulièrement les banques d’investissement, conservent aussi de larges bases de données très sensibles et facilement monétisables si elles sont piratées.

Si on considère que les institutions financières détectent les attaques malveillantes après un délai moyen de huit mois, les risques encourus par celles-ci peuvent être majeurs, en termes de dommages financiers et réputationnels.

Quelles sont les réponses apportées ?

Au vu de ce phénomène, le secteur financier britannique a, ces dernières années, investi de façon significative dans la lutte contre la cyber-criminalité. Avec un budget pouvant aller jusqu’à 700 millions de livres par an (soit plus de 830 millions d’euros), les établissements bancaires mettent à jour leurs systèmes de sécurité informatique, incluant des logiciels innovants permettant par exemple de tracer les hackers potentiels. La sécurité des utilisateurs est aussi régulièrement renforcée, de la confirmation d’une opération financière via l’envoi automatique d’un SMS à l’authentification des chèques par QR code unique.

D’autre part, la coopération a toujours été un outil précieux dans la lutte contre la criminalité, et le cyberespace n’y fait pas exception. C’est dans cet esprit que la Fédération des Banques des Emirats arabes unis a développé le 1er mai 2017 une plateforme de partage pour la cyber-sécurité commune aux 49 banques nationales, afin d’éviter des attaques en ligne visant les créanciers. Le but de cette initiative est de partager des renseignements qui permettront aux banques de se protéger contre les cyber-attaques.

Le Royaume-Uni est même allé plus loin dans cette démarche en développant la coopération financière public-privé. Ainsi ont émergé le UK National Computer Emergency Response Team (CERT) ou le Cyber-Security Information Sharing Partnership (CISP), tous deux absorbés par l’actuel National Cyber Security Center (NCSC).

Bien que les banques aient toujours investi dans la sécurité de leurs infrastructures, aussi bien matérielles qu’immatérielles, les pirates informatiques oeuvrent à contourner ces obstacles pour atteindre des butins toujours plus gros. C’est probablement pour cette raison que les cyber-criminels convoitent de plus en plus les banques d’investissement, une cible plus conséquente mais aussi peut-être moins accoutumée à ces problématiques.

Suggestions