Premier cyber-casse de l'histoire : 1 milliard de dollars dérobés aux banques

Carbanak : l'intrusion informatique bancaire la plus importante jamais connue (illustration : Don Hankins, Creative Commons 2.0)

L'entreprise russe de sécurité informatique Kaspersky vient de révéler le plus grand "cyber détournement bancaire" de tous les temps. Comment des escrocs ont-ils pu se servir dans une centaine de banques à travers le monde durant deux ans, sans que personne ne s'en rende compte ? Explications.

dans

Coup de tonnerre dans le monde bancaire, comme dans celui de la sécurité informatique après l'annonce de l'opération Carbanak. Carbanak, c'est le nom du logiciel malveillant ayant permis les détournements de fonds et nommé ainsi par les experts de l'entreprise de sécurité informatique Kaspersky qui ont mené l'enquête.

L'inquiétude au sujet du détournement des 300 millions à 1 milliard de dollars (le montant est encore discuté, mais serait plus proche du milliard, selon les enquêteurs) auprès d'une centaine d'organismes financiers ne se situe pas au niveau de la prouesse technique des "attaquants". Les pirates informatiques n'ont pas exploité des failles techniques — ou innové dans les méthodes d'intrusion informatiques. C'est à l'inverse, la trivialité du mode opératoire qui pose problème puisqu'elle donne à penser que ce type d'escroquerie n'est pas prête d'être contrée.

Pourquoi ? Parce que les cyber-escrocs de l'opération Carbanak n'ont fait qu'une seule chose : utiliser des failles humaines et des logiciels malveillants (malware) de type "chevaux de Troie". Ces "malware" sont tout à fait courants… et utilisés depuis longtemps par les escrocs en ligne pour dévaliser les internautes.

Opération Carbanak : Mode opératoire

Le Cheval de Troie : un logiciel malveillant qui ouvre un accès à distance aux pirates informatiques

Selon Kaspersky, la méthode employée pour "cyber-infiltrer" les banques est un classique du genre, basée sur le "spear-pishing"— ou "harponnage". Le principe repose sur l'ingénierie sociale : les escrocs se renseignent longuement sur l'entreprise cible, recueillent le maximum d'informations sur les employés, puis grâce à l'envoi d'un message électronique très personnalisé, se font passer le plus souvent pour un collègue, afin d'inciter la victime à ouvrir une pièce jointe.

Dans le cas de l'opération Carbanak, l'enquête menée par Kaspersky affirme que les pièces jointes étaient de type CPL (extension du panneau de configuration Windows) ou encore des fichiers Word exploitant des vulnérabilités connues.

L'ouverture de ces pièces jointes installait le fameux logiciel malveillant, une "porte dérobée", basé sur un code informatique nommé Carberp (d'où le nom de Carbanak pour ce nouveau code amélioré), permettant l'espionnage des postes informatiques, l'exfiltration de données et… la prise de contrôle à distance des ordinateurs.

Deux ans de détournement bancaire

Les escrocs informatiques ont été patients et très discrets. Une fois le logiciel espion Carbanak déclenché par l'ouverture de la pièce jointe, tout ce qu'accomplissait l'employé de banque sur son ordinateur était connu des escrocs, qui ont récupéré au fur et à mesure tous les codes d'accès, les mots de passe, les procédures de transferts de fonds, de gestion des comptes bancaires, etc… Il ne leur suffisait plus — une fois bien maîtrisées les procédures de la banque — qu'à effectuer des manipulations de virements ou de crédit et de débit, voire de se créer eux mêmes des comptes…

L'exemple donné par Karspersky est parlant : les escrocs créditaient un compte en banque de 10 000 dollars avec un solde originel de seulement 1000 dollars, puis viraient les 9000 dollars ajoutés sur un compte extérieur leur appartenant. La plupart du temps ces comptes étaient situés aux Etats-Unis ou en Chine. Au final, le compte piraté n'avait pas bougé, il restait toujours 1000 dollars, mais les 9000 dollars crédités par les pirates étaient alors… dans leurs poches.

Distributeurs "magiques"

Le pot-aux-roses du plus grand détournement bancaire de tous les temps n'a pas été découvert par des ingénieurs systèmes, en sécurité informatique ou des spécialistes financiers — mais grâce au comportement étrange d'individus retirant de l'argent auprès de distributeurs automatiques.

Ce sont des caméras de surveillance de distributeurs de billets — comme celle-ci pour retrouver un kidnappeur aux Etats-Unis — qui ont permis de découvrir l'opération Carbanak (Photo d'illustration : AP)

Des caméras de surveillance placées devants ces distributeurs automatiques de billets (DAB) ont permis de voir des usagers retirer de l'argent sans effectuer aucun geste sur les appareils, ni utiliser de carte bancaire ou le clavier des appareils. Le phénomène a interpellé les responsables des établissements concernés, qui ont découvert un fonctionnement jusque là inconnu de leurs DAB : au moment où une personne s'approchait, l'appareil crachait des billets de lui-même !

En réalité, les pirates de l'opération Carbanak, ayant la main sur le système de contrôle des distributeurs de la banques déclenchaient à distance, à une heure prévue, la distribution de billets, récupérés, selon les enquêteurs, par des "mules", des sous-fifres payés par les pirates informatiques pour aller chercher l'argent.

Une défaillance générale et critique

L'affaire Carbanak révèle la facilité avec laquelle des entreprises peuvent être infiltrées par le biais d'outils informatiques. Dans ce cas précis, c'est une centaine de banques qui est concernée, dans une trentaine de pays. La défaillance centrale dans cette affaire est avant tout humaine, mais doublée d'une problématique technique reliée à l'utilisation de systèmes informatiques très facilement compromis, tels le système d'exploitation Windows.

Le spécialiste en sécurité réseaux et systèmes, Neal Bridges de l'entreprise NetWorks Group, souligne l'aspect inquiétant et très difficile à combattre, que cette escroquerie met en lumière : "Une fois une première campagne d'hameçonnage par mail réussie auprès d'un seul établissement financier,suite à l'ouverture d'un fichier joint, les attaquants utilisaient le mail de la personne pour contacter d'autres établissements, et continuaient leur campagne avec ces mêmes boites mails, et ainsi de suite. Dans certains cas, les attaquants avaient accès aux bases de données Oracle et pouvaient ainsi créer leurs propres comptes en banque pour effectuer des débits ou des crédits et effectuer des mouvements de fonds en moins d'une heure. Cela leur permettait de ne jamais être repérés par les outils de surveillance bancaires, de passer 'sous les radars', puisque tout était conforme à des pratiques bancaires normales."

Combien d'entreprises sont infiltrées, leur systèmes d'informations espionnés, pillés ? Difficile à dire. Mais ce que la plupart des experts affirment, est qu'il est grand temps de mettre en place des procédures sérieuses de tests de piratage, en employant les mêmes méthodes que les pirates, pour parvenir à contrer leurs attaques. Vaste programme.

L'opération Carbanak expliquée par Karspesky (en anglais) :