Pour gérer vos consentements :

Cybersécurité : un malware menace les échanges bancaires via Swift

Crédit Photo : Eugène Sergueev-Shutterstock

Des assaillants sont parvenus à dérober 81 M$ à la banque centrale du Bangladesh. A priori, une attaque informatique parmi d’autres, qui paraît loin de menacer les échanges bancaires internationaux. Sauf que, selon Reuters, qui citent des chercheurs de l’entreprise de défense britannique BAE Systems, l’attaque est passée par un logiciel de la plate-forme internationale Swift. Cette coopérative de droit belge (l’acronyme signifie Society for Worldwide Interbank Financial Telecommunication), détenue par 3 000 institutions financières de par le monde, a confirmé à nos confrères être au courant d’un malware ciblant son logiciel client appelé Alliance Access.

Swift a publié une alerte spéciale pour informer les institutions financières du problème. La société belge dit avoir mis au point « des services pour aider les clients à renforcer leur sécurité et à détecter des incohérences dans leurs bases de données locales ». Ces incohérences pouvant être le signe d’un piratage. Swift assure que le malware, nommé evtdiag.exe, n’a pas d’impact sur le réseau Swift, ni sur les services de messagerie au cœur de cette institution internationale. Au total, 11 000 banques et autres établissements financiers utilisent ce réseau, mais seulement une partie d’entre eux emploient le logiciel Alliance Access.

Compromettre les accès à Swift

La fraude mise en œuvre avec ce malware visait un compte de la banque centrale du Bangladesh établi à la banque fédérale de New York. En février, les cybercriminels ont tenté d’y détourner pas moins de 951 M$. Une bonne partie des virements a été bloquée, mais 81 M$ ont été transférés sur des comptes aux Philippines. Pour mener à bien cette fraude de grande ampleur, les hackers seraient parvenus à récupérer des codes d’accès utilisés par la banque du Bangladesh pour se connecter à la plate-forme Swift, ce que souligne d’ailleurs la coopérative dans son communiqué.

Pour le responsable de l’intelligence sur les menaces de BAE, Adrian Nish, il s’agit là d’une attaque d’un niveau de sophistication très élevé. « Je ne me souviens pas d’un cas où un criminel va jusqu’à ce niveau de customisation pour s’adapter à l’environnement auquel il fait face. J’imagine que cela résulte d’une prise de conscience que le retour sur investissement potentiel justifiait ces efforts », explique Nish à Reuters. La firme britannique doit publier dans les heures qui viennent des indicateurs techniques que les banques pourront exploiter pour vérifier si elles n’ont pas été attaquées ou pour contrer de futurs assauts.

Manipuler la base de données des virements

Selon BAE, le malware evtdiag.exe fait partie d’un toolkit plus complet, qui a été installé après récupération des codes d’accès des employés de la banque du sous-continent indien. Déniché par les équipes anglaises sur un référentiel de malware – BAE n’ayant fait le lien avec la banque du Bangladesh que dans un second temps -, evtdiag.exe modifie légèrement le code d’Access Alliance afin de permettre aux assaillants de modifier la base de données traçant les activités de la banque sur le réseau Swift.

La souche peut ainsi effacer des enregistrements de transferts sortants et aussi intercepter des messages entrants confirmant les ordres passés par les hackers. Le malware permet aussi de manipuler des soldes sur des enregistrements afin de couvrir la fraude. Si les mécanismes mis en œuvre sont sophistiqués et ont permis aux hackers de couvrir leurs méfaits le temps de faire disparaître une bonne partie des fonds, ceux-ci ont bénéficié des négligences de la banque pour s’introduire sur ses systèmes donnant accès à Swift. La semaine dernière, la police de ce pays de plus de 150 millions d’habitants a souligné les lacunes patentes de la banque centrale en matière de cybersécurité.

Ingénierie sociale : les employés sont-ils le maillon faible de la cybersécurité ?