Des banques victimes de véritables bandes organisées
Les attaques informatiques envers les banques sont devenues monnaie courante. Trois attaques ont retenu notre attention depuis fin 2016. Elles consistent toutes à pénétrer dans un réseau informatique bancaire et à effectuer des actions malveillantes qui permettront de vider massivement et rapidement les caisses de Distributeur Automatique de Billets (DAB) situés partout sur la planète, et ce à l’aide de centaines de complices, telles de vraies bandes organisées.
Avant de vous détailler ces attaques, commençons par comprendre le fonctionnement d’un distributeur automatique de billets.
Prenons le cas d’un client d’une banque A souhaitant retirer de l’argent à partir d’un distributeur d’une banque B. Une fois sa carte insérée dans le lecteur, son code PIN et le type de transaction qu’il souhaite effectuer lui sont demandés. Ce dernier est envoyé de manière chiffrée et sécurisée à l’ordinateur connecté au DAB, qui s’occupe de le relayer au switch de paiement, point d’entrée du réseau de paiement associé à la carte. Par exemple, Visa, Mastercard, ou American Express, ont leur réseau de paiement qui interconnecte toutes les banques utilisant ces cartes. L’information est transférée à la banque du détenteur de la carte, via ce réseau, qui approuvera ou non la transaction. La décision prise par la banque suit ensuite le chemin inverse en passant par le réseau de paiement, le switch de paiement, l’ordinateur, puis le DAB. Si la transaction a été approuvée, le DAB s’occupe de distribuer les billets à l’utilisateur et la banque A s’occupe de transférer les fonds de son compte opérationnel à celui de la banque B, avant de débiter le compte du détenteur de la carte.
Deux attaques en huit mois pour une banque américaine
Une banque de Virginie, The National Bank of Blacksburg, a été visée par des hackers, deux fois en huit mois. Il faut croire qu’une attaque ne leur a pas servi de leçon, ou qu’ils n’ont pas eu le temps de s’en remettre, car la deuxième attaque reprend quasiment les mêmes procédés que la première. La phase une de la seconde attaque était similaire à la première intrusion, cependant les attaquants ont redoublé d’effort pour la phase deux pour pouvoir voler une somme d’argent plus importante, dans un même temps imparti.
Pour ces deux attaques, la méthode de pénétration dans le système informatique de la banque était la même : le phishing. Une campagne d’email frauduleux, aussi appelé phishing, a été envoyée aux employés de l’établissement bancaire. Dans chacun des cas, un employé a mordu à l’hameçon donnant la possibilité aux attaquants d’installer un logiciel malveillant, aussi connu sous le nom de malware, sur sa machine. Ce malware offrait un accès au système informatique de la banque depuis l’extérieur et grâce à celui-ci il a été possible de compromettre une machine ayant accès au réseau de paiement STAR. Il s’agit du plus grand réseau d’interconnexion bancaire des États-Unis, avec 2 millions de DAB, 134 millions de cartes de crédit et 5700 établissements bancaires.
C’est à partir de ce moment que les deux attaques diffèrent. Pour la première, il a été décidé d’en rester à ce niveau d’infiltration, rendant possible l’accès aux données des cartes de crédit et la désactivation des sécurités, comme les plafonds et le nombre de retraits quotidien. Une fois ces sécurités retirées, les attaquants ont cloné les cartes des clients et ont réalisé des retraits à travers tout le pays en utilisant des centaines de DAB simultanément. Cette attaque a été réalisée en un weekend, ainsi la banque n’a pas pu se rendre compte de ce qu’il se passait sur le coup. La somme volée lors de cette première attaque a été chiffrée à 569 000$.
Lors de la seconde attaque, le scénario d’attaque précédent a été répliqué, cependant ils ont décidé de compromettre une autre machine ayant accès au logiciel Navigator, qui permet de gérer les crédits et les débits des clients de la banque. Grâce à ce logiciel, différents comptes ont été crédités, pour un total de 2 millions de dollars. Les sécurités des cartes de crédit ont à nouveau été retirées et les attaquants ont pu vider les caisses de centaines de DAB du pays. Les pertes suite à cette attaque ont été estimées à 1 833 984$.
Une attaque qui siphonne le compte de Cosmos Bank
En Inde, la Cosmos Bank qui a été victime d’une attaque qui se rapproche de celles vues aux États-Unis. Cette attaque-ci diffère légèrement de celles évoquées précédemment car ce n’est pas le système interne de la banque qui a été compromis mais son switch de paiement Visa/RuPay. Pour rappel, le switch de paiement permet l’accès au réseau de paiement qui va interconnecter les banques d’un même réseau. La méthode de compromission du switch n’a pas été communiquée. L’accès à cet équipement ne permet pas de pénétrer le système informatique de la banque.
Grâce à leur accès au switch compromis, les attaquants ont pu avoir accès aux données des cartes de crédit des clients de la banque et effectuer un clone de l’équipement, puis ils ont redirigé tous les échanges arrivant sur le switch original vers leur clone, leur donnant la possibilité de pré-approuver manuellement l’ensemble des transactions qui y transitaient, trompant le serveur de Cosmos Bank et les DAB à l’origine des transactions.
Pour finaliser leur attaque, les hackers ont cloné les cartes de crédit des clients de la banque, et ont vidé les caisses de DAB dans plus de vingt-huit pays, simultanément. Les transactions étant pré-approuvées avant même que l’approbation de la banque ne soit obtenue, l’ordre de transfert des fonds du compte opérationnel de Cosmos Bank vers les banques étrangères était automatiquement passé sans que la banque ne donne son approbation, vidant le compte de la banque indienne sans affecter le compte bancaire des détenteurs de cartes de crédit. 13,5 millions de dollars ont été volés à la banque indienne grâce à des retraits faits depuis 28 pays différents.
Nous pouvons penser que les systèmes informatiques bancaires sont très sécurisés de par leur criticité, et au final ce sont des systèmes similaires à ceux du grand public, avec des failles. Leur sécurisation est très variable et se fait en fonction des moyens de l’établissement bancaire. Les petites banques, avec peu de moyen à consacrer à la sécurité informatique, sont donc plus susceptibles d’être attaquées et sont des cibles privilégiées de personnes malveillantes.
