Ce vendredi 5 février 2016, à Dacca, quelque chose ne tourne pas rond à la Bangladesh Bank, la banque centrale du pays éponyme. Plus rien ne sort de l’imprimante du dixième étage. Une machine pourtant cruciale pour le fonctionnement de l’institution bancaire : elle imprime tous les transferts financiers entrants et sortants. Quand ce qui ressemble à un simple bug est enfin corrigé, les employés ont des sueurs froides. Des dizaines de transactions suspectes, 35 exactement, ont été opérées depuis la veille.
Dans l’urgence, la banque centrale réussit à annuler un transfert de 20 millions de dollars. Mais elle doit faire une croix sur 81 millions qui s’évaporent aux Philippines. Et encore, la Bangladesh Bank a eu de la chance. L’essentiel des demandes de transfert initiées à travers la plateforme Swift (pour Society for worldwide interbank financial telecommunication), ce système utilisé par les institutions financières du monde entier, ont été bloquées à cause d’une simple coïncidence.
Un cybercasse qui a marqué le secteur
L’une des succursales bancaires de destination pour les virements les plus importants (951 millions de dollars en tout) avait en effet pour adresse Jupiter Street, à Manille. Or « Jupiter » est le nom d’une compagnie maritime blacklistée pour ne pas avoir respecté l’embargo international contre l’Iran. La transaction a donc été automatiquement bloquée par la Réserve fédérale de New-York, aux Etats-Unis, qui gère les comptes en dollars de la banque centrale de Dacca.
Mais même s’il est loin d’avoir atteint ses objectifs initiaux, ce cybercasse est resté dans les annales. Bien qu’ils aient finalement commis une erreur qui leur a coûté cher, le mode opératoire des attaquants s’est révélé particulièrement ingénieux. Pour siphonner les comptes de la Bangladesh Bank, les auteurs du casse ont discrètement pris le contrôle de l’informatique de la banque centrale. De manière à pouvoir opérer ensuite des virements légitimes dans le système Swift, effacés ensuite des archives des ordinateurs locaux.
Pirater l’imprimante pour dissimuler les transferts
Pour faire main basse sur des identifiants légitimes d’employés de la banque centrale, les hackers ont eu recours à la technique du hameçonnage. Ainsi, un mail de janvier 2015, une fausse demande d’emploi, contenait un lien frauduleux, soi-disant vers un CV et une lettre de motivation. Après être entrés dans les murs, les pirates ont discrètement pris le contrôle, un à un, des ordinateurs. Restait enfin la dernière touche finale : pirater l’imprimante du dixième étage pour dissimuler les transferts. Et choisir avec soin la date du cybercasse, si possible la veille d’un week-end. Avec le résultat que l’on sait.
Très rapidement, la Corée du Nord est soupçonnée d’avoir joué un rôle dans le braquage. L’éditeur Symantec signale ainsi, en mai 2016 des similitudes dans le code avec des techniques déjà employées par le groupe Lazarus. Un gang observé par les chercheurs en sécurité depuis la fin des années 2000 et soupçonné d’avoir des liens étroits avec le régime de Pyongyang. Des indices qui conduisent la justice américaine à inculper en septembre 2018 un informaticien nord-coréen, Park Jin Hyok, toujours recherché par le FBI, poursuivi pour ce cybercasse d’Etat.
Qu’un Etat souverain devienne le principal suspect d’une affaire plus proche du grand banditisme est plutôt surprenant. Mais l’hypothèse est crédible, tant le régime nord-coréen, frappé par des sanctions financières à cause des ses programmes militaires, est aux abois. Il aurait même industrialisé le concept, avec une une équipe de pirates informatiques, les « BeagleBoyz », chargés spécifiquement des attaques de banque et autres vols de cryptomonnaie. Des activités cybercriminelles qui sont aujourd’hui « probablement une source majeure du financement » de la dictature, selon le Cert américain.
Ceci est le 5e volet de notre série « Les 5 affaires qui ont marqué la cybersécurité. Le premier était consacré à Cryptolocker, le premier ransomware moderne. Le 2e a un logiciel vérolé que les Américains ont volontairement refilé aux Soviétiques pendant la guerre froide, le 3e à la menace Michelangelo, et le 4e au ver Wank infiltré dans des ordinateurs de la Nasa.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !