Le réseau interbancaire Swift cherche à renforcer la sécurité de son réseau à la suite de plusieurs piratages.

Le réseau interbancaire Swift cherche à renforcer la sécurité de son réseau à la suite de plusieurs piratages. | Quentin Hugon / Le Monde

Le groupe de pirates informatiques à l’origine d’attaques contre plusieurs banques asiatiques – dont celle qui a abouti au « cybercasse » de 81 millions de dollars – serait le même que celui qui a mené le raid de grande envergure contre Sony Pictures, en 2014. C’est la conclusion à laquelle sont parvenus deux groupes de chercheurs en informatique, qui ont trouvé plusieurs points communs entre les deux attaques.

Des chercheurs de l’entreprise Symantec ont annoncé avoir trouvé des similitudes troublantes dans le contenu du code de deux programmes informatiques malveillants : l’un a été utilisé récemment, notamment pour dérober 81 millions de dollars à la banque centrale bangladaise, tandis que l’autre figure dans l’arsenal de « Lazarus », un groupe que plusieurs dizaines d’experts ont désignés responsables cet hiver de l’attaque contre Sony Pictures. Cette dernière a été attribuée par le FBI à la Corée du Nord.

« Il s’agit d’une fonction de suppression de données, qui n’est pas quelque chose de disponible publiquement », précise Candid Wueest, de Symantec. Selon les chercheurs de l’entreprise, c’est la première fois qu’un Etat aurait recours à une attaque informatique pour dérober des fonds.

Douze banques suspectées d’avoir été concernées

Ces révélations recoupent celles faites il y a quelques semaines par des chercheurs de BAE Systems, qui avaient eux aussi trouvé un lien similaire entre les outils utilisés pour le « cybercasse » et l’attaque de Sony Pictures. Selon l’agence Reuters, les experts embauchés par la banque centrale bangladaise avaient, pour leur part et dès les premiers jours de l’enquête, repéré un groupe lié à un Etat dans les serveurs de la banque.

Au fil de ces révélations se dessine donc une attaque d’ampleur contre de nombreuses banques. Les chercheurs de Symantec ont d’ailleurs révélé qu’un établissement philippin, dont le nom n’a pas été communiqué, a également été touché par un piratage touchant le réseau Swift, portant à trois le nombre total de banques visées par le même groupe de pirates. Une quatrième banque, équatorienne, a également été touchée par un piratage incluant le réseau interbancaire, mais aucun lien n’a été fait à ce jour avec les assaillants des trois autres établissements. Par ailleurs, une source anonyme, citée par l’agence Bloomberg, avance que douze banques au total pourraient être concernées par le piratage.

Une vague d’attaques contre les banques

De plus, dans un rapport confidentiel, initialement révélé par Bloomberg et que Le Monde s’est procuré, BAE Systems révèle ainsi avoir découvert un logiciel malveillant qui comporte des ressemblances frappantes avec celui qui a touché la banque bangladaise. Or, dans le code de ce logiciel – qui permet également de passer des ordres indus dans le réseau Swift – figurent les noms de plusieurs grandes banques asiatiques et une européenne : signe que l’offensive contre la banque bangladaise était loin d’être un acte isolé. Chez Swift comme chez Symantec, on s’attend d’ailleurs à apprendre, dans les prochaines semaines, que de nouvelles banques ont été victimes de piratages similaires.

Au fil des révélations et des analyses, le modus operandi des pirates s’est éclairci : il ne s’agit pas d’une vulnérabilité dans les serveurs de Swift, mais plutôt de failles informatiques dans les systèmes des banques victimes, dont les pirates ont pu profiter. Une fois à l’intérieur des réseaux informatiques des banques cibles, ils ont pu espionner les employés et mettre la main sur les identifiants et les mots de passe nécessaires pour se connecter au réseau Swift et effectuer des ordres de transfert de fonds.

Swift critique un manque de partage d’informations

Si le réseau Swift – épine dorsale du système financier mondial avec plus de 11 000 institutions financières membres – semble hors de cause, l’enjeu pour la coopérative de droit belge est énorme. Il s’agit désormais de répondre aux critiques, émises outre-Atlantique et visant sa réaction face à ces incidents, et de ne pas voir la confiance dans certains de ses membres – et donc dans son réseau – s’effondrer. A cette fin, Swift a annoncé le 27 mai des mesures pour renforcer sa sécurité.

En mettant l’accent sur le partage des informations entre ses membres, elle a commencé à leur diffuser des indicateurs de compromis, des traces laissées par les pirates qui vont permettre aux banques de vérifier si elles ont fait l’objet d’une attaque. Chez Swift, on regrette d’ailleurs que les piratages des banques équatorienne – en janvier 2015 – et vietnamienne – en décembre – ne lui aient pas été communiqués, estimant qu’un meilleur partage des informations aurait pu éviter le fameux « cybercasse » à 81 millions de dollars…

Par ailleurs, Swift va muscler un peu plus la sécurité des produits qu’elle propose à ses membres, mettre en place des guides de sécurité et travailler sur la question de la détection des virements frauduleux.