Les systèmes d’information bancaires sont la cible d’attaques aussi nombreuses que diverses. Le dénominateur commun de ces attaques est leurs sophistications : les attaquants employant des moyens humains et techniques de plus en plus élaborés pour arriver à leurs fins. Sans viser l’exhaustivité, cet article propose de dresser un état des lieux général de la menace.
Historiquement, les banques ont toujours été des cibles lucratives à haut risque. Elles ont d’ailleurs mis en place des systèmes de sécurités physiques (chambres fortes, sas de sécurité, systèmes d’alarmes) toujours plus sophistiqués, pour se prémunir de ces attaques. Mais l’environnement cyber apporte avec lui un jeu de menaces multiple et varié. Les cyber criminels ne sont pas simplement motivés par le vol d’argent, mais aussi de vol de données clients, l’usurpation d’identité dans la volonté de créer un déséquilibre opérationnel ou politique. Dans cet univers très changeant, une constante persiste : les attaquants utilisent toujours de multiples failles de vulnérabilité chez leur cible pour parvenir à leurs fins, soit au travers des réseaux de communications, de canaux de distributions, des sites web institutionnels, des systèmes mobiles et d’applications clients, ou encore des employés qui ont accès aux données les plus sensibles….
Attaques visant les distributeurs de DAB (distributeurs automatiques de billets)
Les attaques de type « skimming » ont pour objectif de récupérer les données des cartes bancaires et éventuellement le code PIN. Le mode opératoire classique consiste à ajouter des composants matériels sur les distributeurs (par exemple des dispositifs « avalant » la carte et filmant la victime en train de composer son code PIN). Des cas plus élaborés permettent à l’attaquant d’accéder au système informatique du distributeur (par exemple par un port USB) et d’installer un logiciel espion. Citons par exemple le programme malveillant Tyupkin, cheval de Troie installé par CD après redémarrage du distributeur. Ces attaques nécessitent bien entendu un accès physiques au DAB.
Attaques ciblant les systèmes d’information bancaires contrôlant les distributeurs
Dès 2014, le rapport du FFIEC (entité regroupant les régulateurs bancaires américains) attire l’attention des établissements bancaires sur cette menace qui vise à compromettre ces systèmes -soit en accédant à des informations sensibles, soit en modifiant des éléments de configuration-
Le mode opératoire est généralement celui des attaques ciblées : envoi d’emails piégés à quelques employés choisis de la banque, compromission d’un poste de travail, tentatives d’élévation de privilèges et de rebonds vers les systèmes contrôlant les DAB. Les attaques du groupe Anunak en Russie font partie de ce type de menaces.
Attaques visant les clients des banques de détail
Comme le souligne l’étude « Le marché de la cyber sécurité dans la banque et l’assurance –publiée par le Xerfi, avec la digitalisation des canaux de contact avec les clients, les banques et assurances sont devenues particulièrement vulnérables au vol de données clients et à l’usurpation d’identité. Les techniques d’ingénierie sociale de type phishing and spear phishing sont les plus couramment utilisées pour introduire un malware dans le réseau. Les banques doivent donc se préoccuper non seulement de la sécurité de leurs systèmes mais également du niveau de protection des ordinateurs de leurs clients. Par exemple, la banque peut demander un code d’authentification supplémentaire (en plus de l’authentification au site bancaire) envoyé sur le smartphone du client en utilisant le protocole 3DSecure. Les attaquants cherchent dans ce cas à compromettre le smartphone par l’installation d’un programme malveillant pour récupérer le code d’authentification. Ils peuvent ainsi usurper l’identité du client et réaliser des opérations protégées, par exemple l’ajout d’un nouveau relevé d’identité bancaire pour les virements autorisés. Une dizaine de personnes ont ainsi été arrêtés en 2014 en France pour des attaques de ce type visant des clients de la Banque Postale.
Attaques visant des logiciels chargés des virements bancaires (SEPA et SWIFT)
Ces attaques ont un fort retentissement du fait des sommes en jeu. Citons par exemple le cas de la banque centrale du Bangladesh (81 $M de perte) ou plus récemment celui de la banque centrale russe (31 millions). Ce n’est a priori pas la sécurité du système d’information du réseau SWIFT qui est en cause lors de ces attaques mais les systèmes d’information bancaires connectés au réseau SWIFT. Les attaquants, grâces à des modes opératoires élaborés, combinant social engineering, programmes malveillants et techniques d’intrusion manuelles et discrètes sur les systèmes d’information parviennent donc à compromettre des logiciels de virement qu’on estimait jusqu’ici à l’abri d’attaques de ce type.
Attaques par force brute et DDos
Egalement très largement utilisée, les Attaques de type DDos -Distribution Denial of Service-, visent à paralyser un serveur, un service ou une infrastructure en surchargeant la bande passante du serveur de trafic IP, ou en accaparant ses ressources jusqu’à épuisement. Ce type d’attaque peut aussi être utilisé comme un leurre, pour des attaques plus sophistiquées. Ainsi, dans le cas de l’attaque de la banque JP Morgan, plusieurs failles de vulnérabilités ont été utilisées : l’attaque par force brute, et la possibilité d’accéder en une seule instance, à tous les sites de la banque via une faille Heartbleed.[1]
Les systèmes d’information des banques font l’objet d’attaques de plus en sophistiquées. Ces systèmes doivent par ailleurs évoluer rapidement pour s’adapter aux nouveaux besoins des clients et des collaborateurs : mobilité, utilisation du Cloud Computing, réduction des coûts, interconnexion des systèmes entre eux, dématérialisation…Une approche risque est donc nécessaire pour adapter en permanence les mesures de sécurité aux nouvelles menaces sur des systèmes qui changent en permanence.
[1] Cybersecurity Primer for banking and Finance. Delta Risk June 2016
Article de Christophe Jolivet, Directeur PROSICA, www.prosica.fr