ça SWIFT dans les banques
Le réseau inter bancaire SWIFT (Society for Worldwide Interbank Financial Telecommunication) subit actuellement une série d’attaques par des malveillants sans précédent par le passé. Faisons connaissance avec lui.
Le réseau SWIFT est le réseau d’échanges entre les banques, l’objectif de ce réseau fiable et la non-répudiation des transactions, la fiabilité est donc son objectif premier. Il serait très malvenue que lors d’une transaction une banque refuse la validité de la transaction. le réseau SWIT doit garantir cela.
Ce réseau qui relie les organismes bancaires est bien sur chiffrés afin de se protéger de l’interception et de la modification des flux, comme on pourrait le faire à travers une attaque Man In The Middle. Au-delà d’un service de transport brut d’information, SWIT est aussi un protocole d’échange d’informations pré formaté (voir ici et ici) et de processus d’acquittement, afin de faire transiter au plus vite les milliards de dollars qui sont échangés, c’est ce qui en fait la qualité et la richesse. Tous ces éléments concourent à l’objectif final de non-répudiation des transactions. Les volumes transitant par ce réseau sont titanesques, c’est pour cela qu’il doit être fiable à 100%.
Cela était vrai jusqu’à il y a quelque temps, du moins officiellement. En effet en mars la Banque Centre du Bangladesh est victime d’une attaque qui fait disparaitre pas moins de 80 millions de dollars de ses comptes. Cette somme quoique importante semble bien dérisoire face à l’objectif des pirates. Ceux-ci avaient prévu un montant global de virement d’un milliard de dollars. quand on regarde le ratio, les attaquants ont obtenu moins de 10% de l’objectif, tout ça à cause d’une erreur d’orthographe. Car dans le cas présent les pirates ont pu réaliser la totalité du protocole d’échange (ici).
Ce qui est intéressant ici c’est que techniquement personne n’a rien vu, donc les attaquants sont d’un bon niveau, mais que c’est les mesures organisationnelles qui ont permis de stopper les virements. En effet dans le processus de transfert il y a bien sûr la validité du destinataire, et une faute d’orthographe dans son libellé rendent le transfert douteux et lève une alerte. Autre élément intéressant dans le déroulement c’est la time line de l’attaque, celle-ci se déroule un vendredi soir afin de maximiser le “brouillard de guerre” et donc de mettre le plus de chance du coté de l’attaquant.
Le gouverneur de la banque centrale, Atiur Rahman, a déclaré « J’ai vécu cet événement pratiquement comme une attaque, comme un séisme. Je n’ai pas compris comment [ce vol] a pu se produire, d’où c’est venu et qui l’a réalisé ». Sa réaction tout humaine soit-elle montre que l’attaquant a pris un ascendant sur le défenseur en réalisant une action jugée impossible. En stratégie on appelle cela une surprise Stratégique (ici). Un peu comme la mise en orbite du premier satellite artificiel Spoutnik ou encore l’attaque japonaise sur Pearl Harbor. Il est fort probable que d’autres responsables aient été aussi un “peu” surpris.
Il apparaît qu’une autre banque équatorienne cette fois, la Banco del Austro a été victime d’une attaque permettant de voler 12 millions de dollars en janvier 2015, mais que l’information n’apparaît que maintenant lors d’un procès intenté contre Well Fargo qui a validé la transaction. Les attaquants ont pu utiliser les accréditations d’un employé pendant plus de 10 jours…une éternité
Enfin SWIT a indiqué une autre attaque mais n’a pas indiqué ni le nom, ni les montants volés (ici).
Le mode opératoire semble bien rodé :
- tout d’abord une infiltration au sein d’une banque somme toute très classique,
- prendre le contrôle d’un poste SWIFT avec quelques logiciels “innocent” supplémentaire (ici),
- enfin il suffit de jouer des transactions à destination de compte “amis”.
Tous ces éléments éclairent le problème qui ne vient pas intrinsèquement des échanges chiffrés, mais du processus “humains” en début de chaine. L’opacité de la déclaration d’incident montre aussi que personne ne sait trop qui a subi des attaques et donc cela profite un maximum à l’attaquant. En changeant de cible il est presque sûr que la nouvelle n’est pas d’information de celles qui ont déjà été ciblé. Les banques ne communiquent pas vers SWIFT pour les informer des incidents de ce type. SWIFT appel à être informé de ces attaques mais eux-mêmes ne sont pas particulièrement transparents sur le sujet.
L’attaquant semble bien rodé sur les processus internes d’échange SWIFT. Le groupe Carbanak spécialisé dans les piratages bancaires est actuellement l’attaquant supposé.
Les banques sont une cible idéale et il semble qu’actuellement l’attaquant dispose d’une longueur d’avance sur le défenseur, ça va SWIFTer dans les banques.