Au mois de février dernier, le réseau Swift, utilisé par les banques pour échanger des fonds à l'échelle internationale, avait fait la une des journaux : des pirates qui étaient parvenus à s’introduire dans les systèmes bancaires connectés au réseau Swift avaient presque réussi à voler 1 milliard de dollars à la Banque du Bangladesh. Au final, ils n’avaient pu emporter « que » 81 millions de dollars. Ce hold-up a incité Swift à renforcer la sécurité de ses propres systèmes, lesquels n’ont pas été directement compromis par les pirates. Le réseau a également upgradé le logiciel utilisé par les banques et a ajouté de nouveaux outils d'audit et de vérification. Mais, malgré les risques pour leurs entreprises et leur réputation, les banques ont mis du temps à prendre des dispositions adéquates. C’est pourquoi, dès l'année prochaine, Swift va rendre certaines mesures obligatoires.
Lundi, lors d’un discours prononcé au Sibos, la plus importante convention financière de la planète qui se tient du 26 au 29 septembre à Genève, le CEO de Swift a donné des détails sur les trois attaques déjouées. Il a notamment raconté l’appel téléphonique qu’il avait reçu il y a quelques mois. « Une de nos banques avait été alertée sur des transactions bizarres par un de leur correspondant chargé des compensations », a-t-il déclaré. Une enquête a montré que la banque avait été piratée et que les rapports de paiement avaient été trafiqués, rappelant un peu les modalités du vol de la Bangladesh Bank. Le lendemain, le CEO a reçu un second appel. « Le correspondant a remarqué que le bénéficiaire final de ces opérations, un compte mule, apparaissait dans des transactions avec une autre banque que nous avons contactée et nous avons constaté que celle-ci avait également été piratée », a-t-il poursuivi. « Heureusement, elle avait déjà été alertée par la banque du bénéficiaire ultime, qui soupçonnait le compte mule de servir à des blanchiments d'argent », a-t-il poursuivi.
Conformité demandée avec 16 normes de sécurité
Grâce au travail commun de quatre banques, sur quatre continents différents, il a été possible d’éviter la perte définitive de cet argent. « Quelques semaines plus tard, une autre affaire », a encore raconté Gottfried Leibbrandt. « Cette fois, la banque en question était équipée du dernier antivirus et avait mis à jour notre logiciel avec le dernier patch de sécurité. Les alertes de l'antivirus et du dernier patch de sécurité ont empêché d'autres fraudes contre la banque ». Cette troisième tentative manquée montre l’intérêt pour les banques de sécuriser leurs propres environnements en utilisant l'authentification multifactorielle, de sécuriser leurs informations d'identification en utilisant un antivirus et des pare-feu, et d’appliquer les dernières mises à jour et correctifs de sécurité sur le logiciel d'exploitation, des mesures qualifiées « d'hygiène de base » par le CEO de Swifty. Cependant, ce dernier a reconnu « que certaines attaques avaient réussi, que les attaques se poursuivraient et qu’elles seraient de plus en plus sophistiquées ».
Pour lutter contre de telles attaques, avant le mois de juillet de l’année prochaine Swift exigera à ses clients d'auto-certifier leur conformité avec 16 normes de sécurité de base, et, à partir du 1er janvier 2018, le réseau procèdera à des vérifications. Swift communiquera aux régulateurs et à ses correspondants bancaires la liste des banques en conformité avec ces nouvelles règles, afin de leur permettre de vérifier que l’autre partie a pris les bonnes mesures. Le détail des normes de sécurité n’est pas encore établi. Swift a prévu de lancer une consultation de deux mois à partir de fin octobre. Les règles finales seront publiées en mars prochain.
Les habitudes doivent changer
Les clients de Swift ne seront pas les seuls à changer leurs habitudes pour se prémunir contre les piratages. « Nous investissons également dans notre propre sécurité », a déclaré Gottfried Leibbrandt. « Nos systèmes n’ont pas été piratés – en tout cas, rien ne permet de le dire aujourd’hui. Je dis toujours – autant qu’on puisse le dire - parce que je crois vraiment que pour survivre dans le cyberespace mieux vaut être un peu paranoïaque ».