Blog GlobalSign

21 sept. 2018

Cybercriminalité : les vols contre les banques en ligne représentent jusqu’à un billion de dollars de pertes

Dans une scène mémorable du film Butch Cassidy et le Kid, deux célèbres hors-la-loi (interprétés par Paul Newman et Robert Redford) tentent d’échapper après leur dernier braquage à un homme de loi inflexible et déterminé à les traduire en justice, quel qu’en soit le prix. Traversant l’Ouest américain à cheval dans une cavale qui les mènera jusqu’en Amérique du Sud, ils s’interrogent sur leurs poursuivants. « Qui sont ces types ?» se demandent-ils en permanence,comme s’il était inconcevable que l’on puisse se donner autant de mal dans un milieu aussi isolé et hostile pour empêcher deux personnes de voler des sommes d’argent aussi insignifiantes.

Les braquages de banques ont toujours existé. Souvent glorifiés dans la littérature et au cinéma, ces vols n’en restent pas moins répréhensibles. Et, au bout du compte le consommateur subit un préjudice conséquent (n’oubliez pas que c’est sur nous que les banques répercutent leurs pertes). Aujourd’hui, les cyberbraquages sont beaucoup plus fins et discrets qu’autrefois, mais l’addition est lourde pour tous. Et la plupart du temps, nous n’en entendons pas parler ; il faut dire qu’ils sont devenus quotidiens.

Comme le rapporte l’Insurance Journal, ce sont les sociétés de services financiers qui paient le plus lourd tribut aux cyberattaques. D’après un rapport d’Accenture et de l’Institut Ponemon, le taux d’effractions a triplé dans ce secteur au cours des cinq dernières années.

Leur étude sur le coût de la cybercriminalité (Cost of Cyber Crime Study) examine de près les frais engagés par les cabinets de services financiers pour lutter contre les incidents de cybercriminalité. La méthode de calcul appliquée permet ensuite de comparer les coûts d’une année sur l’autre. Ainsi, d’après cette étude,

le coût moyen de la cybercriminalité pour les cabinets de services financiers dans le monde a augmenté de plus de 40 % au cours des trois dernières années, passant de 12,97 millions de dollars américains par société en 2014 à 18,28 millions de dollars en 2017 — un chiffre largement supérieur au coût moyen par entreprise de 11,7 millions de dollars dans les différents secteurs étudiés. Axée sur les coûts directs des incidents, l’analyse ne tient pas compte des coûts de remédiation sur le long terme.

Sur le plan économique, on estime aujourd’hui que le coût annuel de la cybercriminalité, tel que rapporté ci-dessous, excède légèrement le billion de dollars. On est loin des 300 milliards de dollars de pertes dues aux catastrophes naturelles lors de 2017, une année record.

Ce qui suit est un résumé des statistiques de criminalité bancaire tirées d’un récent rapport de Positive Technologies, l’un des leaders mondiaux de la sécurité en entreprise avec ses solutions de gestion des vulnérabilités et de la conformité. La société est également spécialisée dans l’analyse des incidents et des menaces, et la protection des applications. Dans son rapport, l’entreprise présente des exemples de cyberbraquages, les résultats de tests d’intrusion et de ses analyses de la sécurité informatique des banques au cours des trois dernières années.

Braquage de banques en ligne : le Far West

Pourquoi certains franchissent-ils le pas ? C’est simple : le cyberbraquage est une activité lucrative où l’on a peu de risques de se faire repérer. D’où l’engouement d’un nombre croissant de malfaiteurs pour « opérer en ligne ». Si certains groupuscules se désintègrent ou tombent dans les filets des policiers spécialisés dans les affaires de cybercriminalité, ils sont vite remplacés par de nouvelles factions aux techniques plus sophistiquées.

Ces cyberdélinquants s’adaptent rapidement à un environnement mouvant. Constamment à l’affût des dernières failles, ils s’y engouffrent beaucoup plus vite que les responsables de sécurité ne peuvent le faire.

Sur les forums du Web underground, n’importe qui peut acheter un logiciel pour lancer sa cyberattaque (les instructions étant fournies avec) et prendre contact avec des employés de banque malhonnêtes et des professionnels du blanchiment d’argent. Avec une bonne préparation, un malfaiteur n’a pas besoin de connaissances techniques très poussées pour s’introduire sur un réseau bancaire et s’emparer de millions de dollars, même si ces réseaux sont censés être assez bien protégés.

Exemples de braquages de banques :

Malgré une surveillance généralement stricte du périmètre réseau des banques, les résultats des tests de pénétration montrent que dans 100 % des cas examinés par Positive Technologies, une prise de contrôle total de l’infrastructure des réseaux bancaires a été possible. Dans plus de la moitié des banques testées (58 %), les attaquants ont pu accéder aux applications financières par effraction. Dans un quart des établissements, les postes de travail utilisés pour administrer les guichets automatiques ont été compromis lors des tests d’intrusion effectués. Vous trouverez ci-dessous quelques exemples d’infractions récentes contre les activités en ligne des banques, avec un lien vers les caractéristiques des cybercriminels, leur délit et mode opératoire :

  • Vol de 100 millions de dollars — début 2017, recrudescence des attaques ciblant le traitement des cartes bancaires en Europe de l’Est.
  • Vol de 60 millions de dollars — à l’automne 2017, des intrus ont attaqué la Far Eastern International Bank de Taïwan en effectuant des virements vers des comptes au Cambodge, au Sri Lanka et aux États-Unis.
  • Vol de 4 millions de dollars — pendant la fermeture des banques népalaises durant les vacances, des malfaiteurs ont utilisé le protocole de transfert SWIFT pour retirer de l’argent. Les banques ont pu suivre les transactions et ce n’est que grâce à leur réactivité qu’elles ont pu récupérer une partie importante des sommes volées.
  • Vol de 1,5 million de dollars — début décembre 2017, des sources publiques ont commencé à parler du gang MoneyTaker qui, pendant un an et demi, avait attaqué des institutions financières en Russie et aux États-Unis. Les voleurs ont attaqué les systèmes de traitement des cartes bancaires et de transfert interbancaire. Les sommes dérobées avoisinent en moyenne les 500 000 $ aux États-Unis et les 72 millions de roubles (soit près de 1,26 million de dollars) en Russie.
  • Vol de 100 000 $ — également en décembre 2017, des rapports ont signalé la première attaque SWIFT « réussie » contre une banque russe. La victime du piratage était Globex, une filiale de VEB. Le gang de pirates Cobalt, spécialisé dans les cyberattaques de banques, est soupçonné d’être derrière ce cyberhold-up.

Qui sont ces types ?

Parmi les gangs de cybercriminels les plus actifs ces trois dernières années, citons :

  1. Cobalt
  2. Carbanak
  3. Lazarus
  4. Lurk
  5. Metel
  6. GCMAN

Les résultats obtenus à l’issue des tests d’intrusion réalisés par les experts de Positive Technologies montrent la méthode employée pour planifier les attaques et les vulnérabilités les plus couramment exploitées contre les banques par les gangs listés plus haut... et celles qui rendent les attaques possibles. Grosso modo, les malfaiteurs déroulent les cinq grandes étapes suivantes lorsqu’ils planifient leurs attaques :

  1. Analyse et préparation
  2. Pénétration dans le réseau interne
  3. Élaboration de l’attaque et implantation dans le réseau
  4. Compromission des systèmes bancaires et vol de l’argent
  5. Dissimulation des traces

Pour l’étape initiale, Analyse et préparation, l’assaillant recueille les informations suivantes sur la banque :

  • Informations sur les systèmes et logiciels du périmètre réseau
  • Renseignements sur les employés (adresses e-mail, numéros de téléphone, fonctions exercées et noms)
  • Noms des partenaires et sous-traitants, ainsi que leurs systèmes et employés
  • Processus opérationnels
  • Exemples d’actions préparatoires

Les attaquants utilisent ensuite ces informations pour :

  • développer ou adapter leurs malwares aux versions des logiciels et des systèmes d’exploitation utilisés dans la banque ;
  • préparer des e-mails d’hameçonnage ;
  • mettre en place l’infrastructure (y compris l’enregistrement du domaine, la location du serveur et l’achat d’exploits) ;
  • préparer l’infrastructure afin de pouvoir blanchir l’argent et retirer des espèces ;
  • rechercher des mules pour le transport des fonds ;
  • et tester l’infrastructure et les logiciels malveillants.

Les autres étapes et la façon dont les attaquants exploitent les faiblesses trouvées sont également détaillées dans le rapport que vous pourrez lire si vous le souhaitez.

Résultats détaillés des tests de pénétration

  • Toutes les banques ont révélé des vulnérabilités dans leurs applications Web, une sécurité réseau insuffisante et des failles dans la configuration de leurs serveurs.
  • Dans plus de la moitié (58 %) des banques, des manques ont été constatés dans la gestion des comptes d’utilisateurs et des mots de passe.
  • Les tests de pénétration externes réalisés ont permis de s’introduire sur le périmètre réseau de 22 % des banques.
  • 75 % des banques sont vulnérables aux attaques par ingénierie sociale.
  • La totalité des banques a fait l’objet d’une prise de contrôle totale de leur infrastructure.
  • Les experts ont pu accéder aux systèmes bancaires de 58 % des banques.

Quels sont les points faibles qui ont permis aux testeurs de s’introduire par effraction dans le système informatique de plus de la moitié des banques ?

  • Informations d’identification mal protégées contre le risque de récupération à partir de la mémoire du système d’exploitation
  • Dictionnaire de mots de passe
  • Stockage des données sensibles dans un fichier en clair
  • Injection SQL
  • Utilisation de code réversible
  • Stockage des informations d’identification dans le code source de l’application
  • Réutilisation des éléments d’identification pour plusieurs ressources
  • Protection insuffisante du compte racine

Vulnérabilités du périmètre du réseau

La lecture du rapport détaillé permet de distinguer quatre catégories de « vulnérabilités et de failles courantes au niveau des mécanismes de sécurité sur le périmètre des réseaux bancaires : vulnérabilités des applications Web, sécurité réseau insuffisante, failles de configuration serveurs et manques au niveau des logiciels de gestion des comptes utilisateurs et des mots de passe ». Selon le rapport, « pour un attaquant qui réussit à s’introduire sur le réseau interne d’une banque, il lui suffit d’exploiter ces quatre failles pour accéder au magot électronique de l’établissement bancaire ».

Le rapport conclut par ces quatre points :

  1. Rappelez-vous que si une attaque est détectée et arrêtée à temps, les intrus peuvent être bloqués. L’on peut à tout moment empêcher les pertes, à condition de prendre les mesures de protection appropriées.
  2. La vérification des pièces jointes aux courriels doit être effectuée dans un environnement isolé (de type « sandbox »). On ne peut se fier exclusivement aux antivirus au niveau des points de terminaison.
  3. Les notifications des systèmes de protection doivent absolument être configurées et la réaction à ces notifications doit être immédiate.
  4. La surveillance des événements de sécurité doit être confiée à un centre d’opérations de sécurité interne ou externe (SOC) qui utilisera des solutions de gestion des informations et des événements de sécurité (SIEM) ; ces solutions facilitent et améliorent considérablement le traitement des événements de sécurité informatique.

Globalement, le rapport de Positive Technologies prône la sensibilisation, la transparence et la coopération entre les responsables de la sécurité informatique des banques, les services de sécurité et le personnel des banques. Ainsi, d’après le rapport :

Face à la rapide évolution et progression de la cybercriminalité, les banques doivent absolument éviter de dissimuler les incidents pour mettre en commun leurs connaissances — l’idée étant de partager les informations sur les attaques commises dans leur secteur, d’en apprendre davantage sur les indicateurs pertinents sur les attaques et de contribuer à sensibiliser l’ensemble du secteur.

Pour plus d’informations sur la lutte contre ces hold-up en mode cyber, nous vous invitons à lire nos autres billets de blog techniques sur le sujet :  

Partager ce blog