Russes, Ukrainiens, Chinois… on ignore qui sont les pirates du groupe Carbanak à l’origine du casse bancaire du siècle. Mais une chose est sûre : ils se sont infiltrés depuis 2013 dans le système informatique d’une centaine de banques de 30 pays dans le monde et ont réussi, par ingénierie sociale, à braquer un butin évalué entre 300 millions et 1 milliard de dollars, selon des révélations de l’éditeur de logiciels de sécurité Kaspersky Labs. Et ce n’est pas fini car, si les établissements bancaires se trouvent pour l’heure majoritairement États-Unis, en Allemagne, en Russie et en Chine, le groupe Carbanak étendrait ses opérations en Afrique et en Asie.
Modus operandi classique. Comment Carbanak s’y est-il pris ? Ils envoient à certains salariés des e-mails qui cachent un logiciel malveillant dans un fichier Microsoft Word (.doc) ou dans une archive compressée (.rar). Ce logiciel leur permet ensuite de s’infiltrer dans le système d’information de la banque ciblée. Bref, du grand classique de l’ingénierie sociale. Les pirates peuvent aussi utiliser les failles »0-Day » des systèmes d’information, ainsi baptisées car elles ne sont pas encore identifiées par les éditeurs de logiciels de sécurité. Il n’existe donc pas de patch correctif ni de signature virale. « C’est le talon d’Achille de toutes les entreprises, tous secteurs confondus. Ces failles étant non-identifiables par la grande majorité des solutions de sécurité déployées, les hackers les utilisent pour pénétrer facilement et en toute discrétion dans le système informatique des entreprises », explique Thierry Karsenti, directeur technique en France de Check Point, un des leaders mondiaux des logiciels de sécurité sur Internet – à ne pas confondre avec CheckPoint Systems qui opèrent dans les étiquettes électroniques anti-fraude.
La patience paie. Ensuite, pendant 2 à 4 mois, les pirates de Cabarnak analysent rigoureusement les habitudes des employés espionnés, les caractéristiques du fonctionnement de la banque afin de connaître le secret des méthodes pour transférer les fonds. Après cette phase d’observation, s’en suit une phase d’actions à l’ampleur très modeste : décupler artificiellement le dépôt sur un compte, programmer à une heure donnée la distribution automatique d’une belle quantité de billets à tel DAB de telle banque. Il ne suffit plus que d’à attendre le moment propice pour les récolter à moindre risque.
Indécelables. En massifiant un grand nombre de sommes relativement faibles, le groupe Cabarnak rend ses méfaits presque indécelables. D’où la raison pour laquelle les pirates n’ont toujours pas été appréhendés malgré les enquêtes d’Interpol et d’Europol. Une certitude : le maillon faible reste l’humain. D’une part les solutions de sécurité n’ont pu détecter les courriers malveillants envoyés aux collaborateurs grâce à un changement pratiquement imperceptible du code de la pièce-jointe, et d’autre part, par le manque de sensibilisation des employés qui ont cliqué de manière inconsciente et innocente pour ouvrir la pièce-jointe en question compromettant ainsi leur poste de travail puis toute l’infrastructure informatique de la banque. « Des technologies de pointe encore trop peu répandues comme le »Sandboxing », associées à des formations de sensibilisation à la sécurité informatique offrent des bases solides aux entreprises pour leur permettre de protéger au maximum leurs données critiques », reprend Thierry Karsenti.
Autre certitude, les Etats vont vouloir susciter l’émergence de technologies plus efficientes. D’où le programme du président américain Barack Obama qui fait un appel du pied aux start-up de la Silicon Valley. En France, le gouvernement va lancer un appel à projets innovants dédié à la sécurité informatique dans le cadre de la seconde phase de l’action »cœur de filière » dotée de 150 millions d’euros.
Erick Haehnsen
Commentez