Qin Qisheng, le programmeur en chef d'une banque chinoise a été condamné en décembre dernier à une peine de 10 ans et demi pour avoir mis au point un moyen de retirer plus d'un million de dollars US en espèces « gratuits » aux guichets automatiques. Le développeur de 43 ans, ancien directeur du centre de développement technologique de la Huaxia Bank à Pékin, a découvert une faille dans le système d'exploitation central de la banque, qui ne permettait pas l’enregistrement des retraits d'espèces effectués vers minuit.Selon le développeur, son action avait simplement pour but d’essayer de tester la sécurité interne de la banque et que l'argent qu'il a retiré reposait simplement sur son propre compte avant qu'il ne le rende à ses employeurs. La banque (son employeur) avait accepté son explication, par contre les autorités n'ont pas accepté cette explication et ont confirmé la condamnation de Qin pour vol lors d’un dernier appel en décembre dernier, selon un article de South China Morning Post.
Les vols dans les établissements bancaires sont souvent dus aux vulnérabilités dans leurs logiciels de base. Une erreur de frappe dans une instruction de virement bancaire a permis d’arrêter le vol de près d’un milliard de dollars d’une banque au mois de février 2016. Les responsables de la banque affirmaient que les pirates ont tout de même réussi à voler plus de 80 millions de dollars avant de se voir faire stopper leur manœuvre. Les attaquants ont exploité une faille du logiciel de messagerie de SWIFT de la Banque centrale du Bangladesh pour dissimuler leur forfait.
Les investigations menées par BAE Systems et SWIFT suite au vol sans précédent de la banque centrale du Bangladesh ont pu démontrer que le système financier est plus vulnérable qu’il ne l’a jamais été, à cause d’une faille du logiciel de SWIFT installé sur le serveur des banques que les attaquants ont réussi à exploiter. Le logiciel en question installé sur les serveurs des banques est Alliance Access, un logiciel utilisé pour interfacer la plateforme de messagerie de SWIFT. Les attaquants auraient réussi à trafiquer ce logiciel de sorte à dissimuler les trafics frauduleux qu’ils ont effectués.
Après le succès du premier vol, le réseau de SWIFT a été à nouveau utilisé pour détourner des fonds de plusieurs banques à partir de juin 2016. « Les systèmes de plusieurs clients ont été compromis et de nouvelles tentatives de virements frauduleux ont été détectées. La menace est persistante, adaptative et sophistiquée », avaient affirmé les responsables de SWIFT dans une lettre adressée aux membres de leur réseau, dont Reuters a obtenu une copie. Le réseau cherchait à contraindre ses membres à améliorer leur sécurité.
En revenant à notre actualité, selon South China Morning Post, c’est en 2016 que la faille a été découverte par Qin et pendant le mois de novembre de la même année, il a inséré quelques scripts dans le système bancaire qui lui permettraient de tester la faille sans déclencher d'alerte, selon les déclarations du programmeur. Il a ensuite utilisé un compte fictif dont se sert la banque pour ses tests des systèmes pour retirer entre 5 000 et 20 000 yuan (entre 740 et 2 965 dollars américains) en liquide, pendant plus un an. Jusqu’en janvier 2018, le développeur avait amassé plus de sept millions de yuans (un peu plus d'un million de dollars américains), qu’il avait déposé sur son compte et une partie a été investie sur le marché boursier, et tout ceci à l’insu de ses supérieurs.
Lors d’un contrôle manuel dans la filiale de Cangzhou dans la province de Hebei en janvier 2018, l'activité irrégulière de Qin qui profitait de la faille de sécurité dans le système d’exploitation central de la banque a été détectée et la banque a signalé l'incident aux autorités compétentes.
La banque Huaxia a déclaré que Qin aurait dû signaler ces activités, et que ce qu'il a fait était une violation de ses procédures formelles, selon les documents du tribunal. Malgré cela, la banque avait également déclaré qu'elle avait accepté que le programmeur en chef ait essayé d'enquêter sur la faille et elle avait déposé une demande pour que la police abandonne l'affaire après qu'il ait rendu l'argent. Toutefois, Qin a été arrêté par la police en mars 2018 et le tribunal de district de Chaoyang l'a reconnu coupable de vol en décembre et l'a condamné à 10 ans et demi de prison avec une amende de 11 000 yuan.
Huaxia Bank, qui n’était pour l’arrestation de Qin, a admis qu'une enquête officielle sur la vulnérabilité aurait été difficile et laborieuse à mener et aurait fait intervenir des parties externes, de sorte que le test de Qin aurait peut-être permis à la banque d'économiser du temps et de l’argent. « Qin Qisheng a dit que l'affaire était compliquée et impliquait beaucoup de travail... il croyait que la banque ne ferait pas attention même s'il le signalait », a déclaré un représentant de la banque lors du procès, d’après le rapport de South China Morning Post. Il a ensuite ajoute que « Nous pensons que cette raison de ne pas signaler un cas est légitime ».
« Le système de base de Huaxia Bank a été acheté à un fournisseur étranger, il a été conçu sans tenir compte du problème du commerce de nuit », a déclaré Qin lors de son procès en décembre. « En général, le client ne devrait pas se présenter à la banque, donc nous n'avons pas été informés de cette situation. Le problème était bien là, la banque n'a pas trouvé la raison. », a-t-il ajouté. Le programmeur a rendu tout l’argent à son employeur avant son interpellation et la banque Huaxia, une entreprise cotée en bourse fondée en 1992, a déclaré au tribunal qu'elle avait maintenant réglé le problème.
Cependant, le tribunal de district a déclaré que même si Qin a rendu tout l'argent à la banque avant son arrestation, ce n'était pas une raison suffisante pour l'épargner. Le tribunal s’est opposé à la demande de la banque Huaxia de gracier Qin. Selon le tribunal, la demande n'était pas légitime. « D'une part, la banque a dit que le comportement de l'accusé contrevenait aux règles. D'un autre côté, elle a dit qu'il pouvait effectuer des tests pertinents. C'est contradictoire », a déclaré le juge.
Après le procès qui l’a condamné, Qin a interjeté un appel, arguant qu'il ne méritait pas une peine aussi sévère. Toutefois, lors de la séance de l’appel, le tribunal populaire intermédiaire de Pékin à confirmé le verdict de 10 ans et demi de prison. « Après avoir examiné les documents, parlé à l'appelant et écouté les opinions des défenseurs, nous avons cru que les faits de l'affaire étaient clairs et nous avons décidé de ne plus avoir de procès », a déclaré la cour avant d’ajouté que « L'affaire est close. »
Source : South China Morning Post
Et vous ?
Que vous inspire cette affaire? La banque pense que la raison du programmeur en chef de ne pas signaler la vulnérabilité et les tests qu’il a eu à conduire est légitime. Qu’en pensez-vous ?Lire aussi
Oracle corrige une faille de sécurité qui affecte ses terminaux de paiement micros, 300 000 systèmes concernés USA : le FBI prend le contrôle d'un serveur clé du Kremlin,qui aurait été utilisé pour pirater plus de 500 000 routeurs USA : le FBI publie une méthode pour contrecarrer le maliciel « VPN Filter », qui aurait été utilisé pour pirater plus de 500 000 routeurs Vol de la Banque centrale du Bangladesh : les attaquants ont exploité une faille du logiciel de messagerie de SWIFT, pour dissimuler leur forfait SWIFT à nouveau utilisé pour détourner des fonds de plusieurs banques, le réseau veut contraindre ses membres à améliorer leur sécurité 
Envoyé par esperanto
