Le responsable de logiciel d'une banque chinoise emprisonné après avoir trouvé le moyen de retirer 1 million $ US « gratuits »
Aux distributeurs

Le , par Stan Adkens

98PARTAGES

14  0 
Qin Qisheng, le programmeur en chef d'une banque chinoise a été condamné en décembre dernier à une peine de 10 ans et demi pour avoir mis au point un moyen de retirer plus d'un million de dollars US en espèces « gratuits » aux guichets automatiques. Le développeur de 43 ans, ancien directeur du centre de développement technologique de la Huaxia Bank à Pékin, a découvert une faille dans le système d'exploitation central de la banque, qui ne permettait pas l’enregistrement des retraits d'espèces effectués vers minuit.

Selon le développeur, son action avait simplement pour but d’essayer de tester la sécurité interne de la banque et que l'argent qu'il a retiré reposait simplement sur son propre compte avant qu'il ne le rende à ses employeurs. La banque (son employeur) avait accepté son explication, par contre les autorités n'ont pas accepté cette explication et ont confirmé la condamnation de Qin pour vol lors d’un dernier appel en décembre dernier, selon un article de South China Morning Post.


Les vols dans les établissements bancaires sont souvent dus aux vulnérabilités dans leurs logiciels de base. Une erreur de frappe dans une instruction de virement bancaire a permis d’arrêter le vol de près d’un milliard de dollars d’une banque au mois de février 2016. Les responsables de la banque affirmaient que les pirates ont tout de même réussi à voler plus de 80 millions de dollars avant de se voir faire stopper leur manœuvre. Les attaquants ont exploité une faille du logiciel de messagerie de SWIFT de la Banque centrale du Bangladesh pour dissimuler leur forfait.

Les investigations menées par BAE Systems et SWIFT suite au vol sans précédent de la banque centrale du Bangladesh ont pu démontrer que le système financier est plus vulnérable qu’il ne l’a jamais été, à cause d’une faille du logiciel de SWIFT installé sur le serveur des banques que les attaquants ont réussi à exploiter. Le logiciel en question installé sur les serveurs des banques est Alliance Access, un logiciel utilisé pour interfacer la plateforme de messagerie de SWIFT. Les attaquants auraient réussi à trafiquer ce logiciel de sorte à dissimuler les trafics frauduleux qu’ils ont effectués.

Après le succès du premier vol, le réseau de SWIFT a été à nouveau utilisé pour détourner des fonds de plusieurs banques à partir de juin 2016. « Les systèmes de plusieurs clients ont été compromis et de nouvelles tentatives de virements frauduleux ont été détectées. La menace est persistante, adaptative et sophistiquée », avaient affirmé les responsables de SWIFT dans une lettre adressée aux membres de leur réseau, dont Reuters a obtenu une copie. Le réseau cherchait à contraindre ses membres à améliorer leur sécurité.

En revenant à notre actualité, selon South China Morning Post, c’est en 2016 que la faille a été découverte par Qin et pendant le mois de novembre de la même année, il a inséré quelques scripts dans le système bancaire qui lui permettraient de tester la faille sans déclencher d'alerte, selon les déclarations du programmeur. Il a ensuite utilisé un compte fictif dont se sert la banque pour ses tests des systèmes pour retirer entre 5 000 et 20 000 yuan (entre 740 et 2 965 dollars américains) en liquide, pendant plus un an. Jusqu’en janvier 2018, le développeur avait amassé plus de sept millions de yuans (un peu plus d'un million de dollars américains), qu’il avait déposé sur son compte et une partie a été investie sur le marché boursier, et tout ceci à l’insu de ses supérieurs.

Lors d’un contrôle manuel dans la filiale de Cangzhou dans la province de Hebei en janvier 2018, l'activité irrégulière de Qin qui profitait de la faille de sécurité dans le système d’exploitation central de la banque a été détectée et la banque a signalé l'incident aux autorités compétentes.

La banque Huaxia a déclaré que Qin aurait dû signaler ces activités, et que ce qu'il a fait était une violation de ses procédures formelles, selon les documents du tribunal. Malgré cela, la banque avait également déclaré qu'elle avait accepté que le programmeur en chef ait essayé d'enquêter sur la faille et elle avait déposé une demande pour que la police abandonne l'affaire après qu'il ait rendu l'argent. Toutefois, Qin a été arrêté par la police en mars 2018 et le tribunal de district de Chaoyang l'a reconnu coupable de vol en décembre et l'a condamné à 10 ans et demi de prison avec une amende de 11 000 yuan.


Huaxia Bank, qui n’était pour l’arrestation de Qin, a admis qu'une enquête officielle sur la vulnérabilité aurait été difficile et laborieuse à mener et aurait fait intervenir des parties externes, de sorte que le test de Qin aurait peut-être permis à la banque d'économiser du temps et de l’argent. « Qin Qisheng a dit que l'affaire était compliquée et impliquait beaucoup de travail... il croyait que la banque ne ferait pas attention même s'il le signalait », a déclaré un représentant de la banque lors du procès, d’après le rapport de South China Morning Post. Il a ensuite ajoute que « Nous pensons que cette raison de ne pas signaler un cas est légitime ».

« Le système de base de Huaxia Bank a été acheté à un fournisseur étranger, il a été conçu sans tenir compte du problème du commerce de nuit », a déclaré Qin lors de son procès en décembre. « En général, le client ne devrait pas se présenter à la banque, donc nous n'avons pas été informés de cette situation. Le problème était bien là, la banque n'a pas trouvé la raison. », a-t-il ajouté. Le programmeur a rendu tout l’argent à son employeur avant son interpellation et la banque Huaxia, une entreprise cotée en bourse fondée en 1992, a déclaré au tribunal qu'elle avait maintenant réglé le problème.

Cependant, le tribunal de district a déclaré que même si Qin a rendu tout l'argent à la banque avant son arrestation, ce n'était pas une raison suffisante pour l'épargner. Le tribunal s’est opposé à la demande de la banque Huaxia de gracier Qin. Selon le tribunal, la demande n'était pas légitime. « D'une part, la banque a dit que le comportement de l'accusé contrevenait aux règles. D'un autre côté, elle a dit qu'il pouvait effectuer des tests pertinents. C'est contradictoire », a déclaré le juge.

Après le procès qui l’a condamné, Qin a interjeté un appel, arguant qu'il ne méritait pas une peine aussi sévère. Toutefois, lors de la séance de l’appel, le tribunal populaire intermédiaire de Pékin à confirmé le verdict de 10 ans et demi de prison. « Après avoir examiné les documents, parlé à l'appelant et écouté les opinions des défenseurs, nous avons cru que les faits de l'affaire étaient clairs et nous avons décidé de ne plus avoir de procès », a déclaré la cour avant d’ajouté que « L'affaire est close. »

Source : South China Morning Post

Et vous ?

Que vous inspire cette affaire?
La banque pense que la raison du programmeur en chef de ne pas signaler la vulnérabilité et les tests qu’il a eu à conduire est légitime. Qu’en pensez-vous ?

Lire aussi

Oracle corrige une faille de sécurité qui affecte ses terminaux de paiement micros, 300 000 systèmes concernés
USA : le FBI prend le contrôle d'un serveur clé du Kremlin,qui aurait été utilisé pour pirater plus de 500 000 routeurs
USA : le FBI publie une méthode pour contrecarrer le maliciel « VPN Filter », qui aurait été utilisé pour pirater plus de 500 000 routeurs
Vol de la Banque centrale du Bangladesh : les attaquants ont exploité une faille du logiciel de messagerie de SWIFT, pour dissimuler leur forfait
SWIFT à nouveau utilisé pour détourner des fonds de plusieurs banques, le réseau veut contraindre ses membres à améliorer leur sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Membre expert https://www.developpez.com
Le 04/02/2019 à 8:41
La vache 10 ans et demi de prison ! Ca ne plaisante pas en Chine. Je me demande combien risque Carlos Ghosn au Japon...

Sinon je veux bien que la faille soit complexe, mais Qin aurait du se signaler plus tôt. Ce serait plus crédible.
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 04/02/2019 à 9:19
Y'en a eu une en France, il y a des décennies(je ne serais pas plus précis pour des raisons évidentes). Elle a juste du démissionner et promettre de fermer sa gueule. La peur du scandale a dépassé l'envie de se venger, à l'époque.
Avatar de yoyo3d
Membre éclairé https://www.developpez.com
Le 04/02/2019 à 13:36
Malgré cela, la banque avait également déclaré qu'elle avait accepté que le programmeur en chef ait essayé d'enquêter sur la faille et elle avait déposé une demande pour que la police abandonne l'affaire après qu'il ait rendu l'argent.
c'est nouveau ça, si les braqueurs rendent l'argent , la banque ne les poursuit pas....

'faut que j'essaye... si je ne suis pas pris, c'est tout benef et je continue, si je me fais gauler, je fais mes excuses, j'explique que c'était pour tester la sécurité, "j'essaye" de rendre le fric (si je n'ai pas tout dépenser)....

ha, on me dit dans l'oreillette qu'un compli... pardon qu'un collaborateur aurait intérêt à demander l'arrêt des poursuites par ce que "bon, finalement, ce n'est pas si grave"....
Avatar de esperanto
Membre éclairé https://www.developpez.com
Le 04/02/2019 à 13:59
Citation Envoyé par el_slapper Voir le message
Y'en a eu une en France, il y a des décennies(je ne serais pas plus précis pour des raisons évidentes). Elle a juste du démissionner et promettre de fermer sa gueule. La peur du scandale a dépassé l'envie de se venger, à l'époque.
Oui, il y a bien eu des cas en France où des personnes signalant une faille de sécurité se retrouvent attaquées par ceux qu'ils ont voulu aider (même s'ils n'ont jamais tenté d'exploiter la faille)
En plus, en France les banques ont intérêt à ce que le système ait des failles: ça permet de vendre des assurances dans le package lié au compte courant, lesquelles assurances ne couvrent en réalité que la franchise que la banque a le droit de facturer (puisqu'en principe elles ont l'obligation de rembourser)
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 04/02/2019 à 16:41
Citation Envoyé par esperanto Voir le message
Oui, il y a bien eu des cas en France où des personnes signalant une faille de sécurité se retrouvent attaquées par ceux qu'ils ont voulu aider (même s'ils n'ont jamais tenté d'exploiter la faille)
C'était des externes, pas des gens à l'intérieur. La différence de traitement est flagrante.

Citation Envoyé par esperanto Voir le message
En plus, en France les banques ont intérêt à ce que le système ait des failles: ça permet de vendre des assurances dans le package lié au compte courant, lesquelles assurances ne couvrent en réalité que la franchise que la banque a le droit de facturer (puisqu'en principe elles ont l'obligation de rembourser)
Euh, non. J'ai assez fréquenté les banquiers pour savoir qu'ils ne raisonnent pas comme ça. Vendre des assurances inutiles sous des prétextes fumeux, oui, c'est bien leur style. Laisser volontairement une faille connue? Plutôt crever. Non, les failles sont de vraies failles que personne n'a détecté. Jusqu'au jour ou..... Mais aucune exploitation de faille n'est volontaire du coté des banquiers, ils ont une trouille bleue de la faille, fort compréhensible, d'ailleurs.
Avatar de esperanto
Membre éclairé https://www.developpez.com
Le 04/02/2019 à 17:51
Citation Envoyé par el_slapper Voir le message
Laisser volontairement une faille connue? Plutôt crever.
Mais oui bien sûr, ça explique pourquoi ils sont si pressés d'imposer à tout le monde le paiement sans contact, dont on sait très bien que le danger vient moins des commerçants que du gars qui est à côté de toi dans le train avec un lecteur à distance.
Et bien sûr la limite à 20€ par transaction est là pour prouver qu'il n'y a aucune faille...
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web