Sans doute encouragés par le « succès » des opérations lancées entre autres à la banque centrale du Bangladesh (81 millions de dollars), à une banque en Ukraine (10 millions de dollars) ou à Banco del Austro, qui se situe en Équateur (12 millions de dollars), les pirates n’ont pas arrêté l’offensive en passant par le réseau interbancaire. Selon des sources de Reuters, SWIFT a déploré de nouvelles attaques qui ont conduit à des transferts frauduleux de fonds via son réseau. Aussi, SWIFT met un peu plus la pression aux banques pour se conformer à ses nouvelles procédures de sécurité instituées après le vol de la banque centrale du Bangladesh. Il faut dire que ces attaques ont permis à SWIFT de découvrir des lacunes en matière de sécurité de certains de ses membres.Dans une lettre adressée aux membres de son réseau sur laquelle Reuters a pu mettre la main, SWIFT révèle que de nouvelles attaques ont eu lieu depuis le mois de juin et certaines parmi elles ont conduit à un vol effectif d’argent. « Les systèmes de plusieurs clients ont été compromis et de nouvelles tentatives de virements frauduleux ont été détectées. La menace est persistante, adaptative et sophistiquée », affirment les responsables SWIFT dans la lettre. Cette dernière suggère également que, depuis le vol de la banque centrale du Bangladesh, les pirates ciblent les banques disposant de procédures de sécurité laxistes pour les transferts SWIFT. En clair, SWIFT affirme à nouveau que le problème ne vient pas de son réseau, mais plutôt des banques qui ont de la peine à maintenir leurs infrastructures ainsi que leurs accès au réseau SWIFT dans un environnement sécurisé.
Si le réseau indique que des banques membres ont été des victimes de cette nouvelle vague d’attaques, il s’est en revanche bien gardé de divulguer les noms des banques touchées et encore moins les montants qui ont été dérobés. Toutefois, il a indiqué que ces banques varient en taille, ne sont pas dans la même zone géographique et surtout se servent de différentes méthodes pour avoir accès à SWIFT. Cependant, les victimes avaient quelque chose en commun : la faiblesse de la sécurité de leur écosystème que des pirates se sont empressés d’exploiter pour demander des transferts frauduleux de fonds.
À plusieurs reprises, SWIFT a tenté de pousser les banques de son réseau à implémenter de nouvelles mesures de sécurité depuis le vol de la banque centrale du Bangladesh. SWIFT proposait par exemple de renforcer les mesures d’authentification par exemple via l’authentification à deux facteurs, des règles plus rigoureuses en matière de gestion des mots de passe, de meilleurs outils pour identifier les tentatives de piratage.
Toutefois, obliger les banques de son réseau à se conformer aux meilleures pratiques de sécurité ne relève pas du ressort de SWIFT. Ne disposant donc d’aucun moyen pour contraindre les banques, SWIFT les a menacées de faire un rapport aux régulateurs ainsi qu’aux banques partenaires si elles venaient à ne pas être conformes aux mesures de sécurité passé le délai du 19 novembre 2016, date à laquelle ces banques devront avoir installé la dernière version de son logiciel qui embarque les fonctionnalités de sécurité mentionnées plus haut.
Selon Shane Shook, un consultant indépendant en sécurité qui opère avec des banques centrales, il y a fort à parier que cette menace soit un levier suffisant pour faire plier les banques récalcitrantes : « ce type de partage d’information est quelque chose qu’aucune banque n’aime voir se produire sans son approbation directe, parce que cela peut affecter la confiance du marché ».
Istvan Szabo, Responsable Produit Syslog-ng chez Balabit IT Security, éditeur européen de solutions de sécurité contextuelle, a commenté cette nouvelle révélation tout en précisant ses conseils pour renforcer la sécurité des banques face à ce type d’attaques, en particulier grâce à l’analyse comportementale : « apprendre que de nouvelles banques ont été victimes de piratage via le réseau Swift n’est pas une surprise. Les banques peuvent améliorer leurs outils et procédures de sécurité comme cela est recommandé par Swift, il n’en demeure pas moins que leurs outils de sécurité actuels ne peuvent pas localiser ces attaques dans la mesure où les cybercriminels ont déjà franchi le périmètre de leurs défenses. En effet, pour mener leurs attaques, les cybercriminels utilisent des comptes utilisateurs qui bénéficient probablement de hauts niveaux de privilèges, ce qui leur permet de réaliser des actions importantes tout en couvrant facilement leurs traces. Les utilisateurs privilégiés sont clairement les principales cibles de ce type d’attaques. Des attaques aussi sophistiquées nécessitent des chemins beaucoup plus sophistiqués pour être détectées et stoppées. En d’autres termes, des solutions capables de voir l’invisible.
Tout d’abord il est indispensable de surveiller les utilisateurs privilégiés, de créer des profils spécifiques pour chacun de ces utilisateurs puis d’appliquer sur ces profils de l’analyse comportementale basée sur des algorithmes de machine learning. Ces profils peuvent être obtenus par l’analyse des mouvements de souris, les habitudes de frappe sur le clavier, les habitudes de commandes, les IP utilisateurs, les ports et protocoles de manière transparente lorsqu’il est fait usage d’une technologie de surveillance basée sur les promis etc. Ces habitudes sont des indicateurs uniques impossibles à copier. Ces profils fonctionnent comme une base de comportements normaux pour chaque utilisateur. Ainsi des algorithmes peuvent détecter les anomalies en temps réel lorsqu’un individu exécute une action sensible, offrant à l’équipe de sécurité la possibilité de faire face à la menace.
Cette approche ajoute une couche de sécurité additionnelle, complémentant l’infrastructure de sécurité existante, ce qui lui permet de se concentrer sur les menaces jusque-là inarrêtables. L’entreprise dispose ainsi d’une visibilité complète sur les activités de ses utilisateurs à privilèges, qu’ils soient internes ou des prestataires externes.
Enfin dans ce type d’attaques, l’analyse comportementale ou UBA, apporte des capacités rapides de réponses et investigations, et fournit des indications simples et claires sur les anomalies suspectes ».
Source : Reuters
Envoyé par Coriolan
Qu'en pensez-vous ?
