Vol de la Banque centrale du Bangladesh : les techniciens SWIFT auraient fait preuve de négligence
Et laissé les banques vulnérables selon la police
Le 2016-05-10 01:27:46, par Stéphane le calme, Chroniqueur Actualités
En février dernier, une erreur de frappe dans une instruction de virement bancaire a permis de mettre fin à une opération de vol d’une banque dont le butin s’élevait à près d’un milliard de dollars. Les responsables de la banque affirment que les pirates ont tout de même réussi à voler plus de 80 millions de dollars avant de voir leur manœuvre stoppée. Les pirates avaient réussi à entrer dans le système de transfert et de paiement, d’après deux hauts fonctionnaires de la banque. Ils ont, par la suite, envoyé près de trois douzaines de demandes de virement à la Federal Reserve Bank de New York du compte de la banque centrale du Bangladesh, vers des entités en Philippines et au Sri Lanka.
Selon Mohammad Shah Alam, le chef du département des enquêtes criminelles de la police du Bangladesh en charge de cette affaire, les techniciens du réseau SWIFT sont mis en cause dans la mesure où ils auraient introduit des failles lorsqu’ils ont connecté le premier système de règlement en temps réel interne aux différentes banques du Bangladesh (RTGS). « Nous avons trouvé un grand nombre de failles », a-t-il indiqué dans une interview à Dhaka. Et de continuer en précisant que « les changements ont multiplié les risques encourus par les banques du Bangladesh ».
Du côté des banques, un responsable a fait écho à la police, expliquant que les techniciens semblent ne pas avoir suivi leurs propres procédures pour s’assurer de la sécurité du système. C’est la raison pour laquelle la messagerie SWIFT à la banque centrale était largement accessible : durant leurs travaux, les techniciens ont paramétré une connexion sans fil afin de pouvoir avoir accès aux ordinateurs connectés à SWIFT. Lorsqu’ils ont fini, ils ont oublié de désactiver cet accès qui était sécurisé par un mot de passe. Ils ont également oublié de désactiver un port USB relié au système SWIFT, comme cela est fait habituellement sur les réseaux critiques pour empêcher que des logiciels malveillants soient installés par exemple depuis un lecteur contaminé. La police a noté l’absence de pare-feu entre le RTGS et SWIFT ainsi que d’un switch rudimentaire. « Cela relevait de la responsabilité de SWIFT de vérifier les faiblesses d’un système une fois qu’il avait été mis en place. Mais il semble que cela n’a pas été fait », a avancé le responsable.
Il faut préciser que Reuters, qui a rapporté l’information, souligne que la police n’a apporté aucune preuve de ce qu’elle a avancé. Mais une autre banque a confirmé le fait que le port était actif jusqu’à ce que le vol soit démasqué.
Natasha de Teran, la porte-parole de SWIFT s’est refusé de commenter les allégations des autorités du Bangladesh.
Le RTGS, qui permet aux banques nationales et à la banque centrale de régler entre elles d'importants transferts, a été installé à la Banque du Bangladesh en octobre de l'année dernière, puis connecté à SWIFT. En février, les pirates ont envoyé des messages frauduleux, qui semblaient provenir de la banque centrale à Dhaka, sur le système SWIFT pour faire transférer un montant de près d’un milliard de dollars.
Pour Richard Dzina, un responsable de la New York Fed, le système a été violé parce que les pirates ont acquis des identifiants valides pour effectuer les transferts : « il semble que ce soit un cas de négligence extrême », a-t-il regretté.
Source : Reuters
Selon Mohammad Shah Alam, le chef du département des enquêtes criminelles de la police du Bangladesh en charge de cette affaire, les techniciens du réseau SWIFT sont mis en cause dans la mesure où ils auraient introduit des failles lorsqu’ils ont connecté le premier système de règlement en temps réel interne aux différentes banques du Bangladesh (RTGS). « Nous avons trouvé un grand nombre de failles », a-t-il indiqué dans une interview à Dhaka. Et de continuer en précisant que « les changements ont multiplié les risques encourus par les banques du Bangladesh ».
Du côté des banques, un responsable a fait écho à la police, expliquant que les techniciens semblent ne pas avoir suivi leurs propres procédures pour s’assurer de la sécurité du système. C’est la raison pour laquelle la messagerie SWIFT à la banque centrale était largement accessible : durant leurs travaux, les techniciens ont paramétré une connexion sans fil afin de pouvoir avoir accès aux ordinateurs connectés à SWIFT. Lorsqu’ils ont fini, ils ont oublié de désactiver cet accès qui était sécurisé par un mot de passe. Ils ont également oublié de désactiver un port USB relié au système SWIFT, comme cela est fait habituellement sur les réseaux critiques pour empêcher que des logiciels malveillants soient installés par exemple depuis un lecteur contaminé. La police a noté l’absence de pare-feu entre le RTGS et SWIFT ainsi que d’un switch rudimentaire. « Cela relevait de la responsabilité de SWIFT de vérifier les faiblesses d’un système une fois qu’il avait été mis en place. Mais il semble que cela n’a pas été fait », a avancé le responsable.
Il faut préciser que Reuters, qui a rapporté l’information, souligne que la police n’a apporté aucune preuve de ce qu’elle a avancé. Mais une autre banque a confirmé le fait que le port était actif jusqu’à ce que le vol soit démasqué.
Natasha de Teran, la porte-parole de SWIFT s’est refusé de commenter les allégations des autorités du Bangladesh.
Le RTGS, qui permet aux banques nationales et à la banque centrale de régler entre elles d'importants transferts, a été installé à la Banque du Bangladesh en octobre de l'année dernière, puis connecté à SWIFT. En février, les pirates ont envoyé des messages frauduleux, qui semblaient provenir de la banque centrale à Dhaka, sur le système SWIFT pour faire transférer un montant de près d’un milliard de dollars.
Pour Richard Dzina, un responsable de la New York Fed, le système a été violé parce que les pirates ont acquis des identifiants valides pour effectuer les transferts : « il semble que ce soit un cas de négligence extrême », a-t-il regretté.
Source : Reuters
-
Matthieu VergneExpert éminentAvis purement impulsif, biaisé et anti-banque (anti-capitaliste oblige) : comme par hasard, c'est le prestataire qui a fait une boulette de débutant, alors que la banque, elle, reste blanche comme neige. Le tout sans preuve, bien entendu. L'avantage d'utiliser un prestataire, c'est que si une boulette survient, une banque arriveras toujours à la lui mettre sur le dos. Après tout, si avec la crise il fallait sauver les banques plutôt que les entreprises, pourquoi en serait-il autrement dans d'autres cas ?le 10/05/2016 à 1:47
-
Ryu2000Membre extrêmement actifJe trouve ça plutôt cool que des banques se fassent voler, généralement c'est l'inverse ^^
Si il n'y a pas de répercussion pour les clients de la banque ça va.
Il faudrait former les employés à faire attention quand ils reçoivent des pièces jointes par eMail.
Apparemment activer les macros d'un document Excel ou extraire les fichiers d'une archive ça peut avoir de grave conséquences...
Exécuter un exécutable en mode administrateur également ^^le 17/10/2016 à 10:26 -
23JFKMembre expertUne complicité interne est certaine SWIFT n'est pas une norme ouverte, il faut avoir largement pu étudier le système en interne pour en connaître les faiblesses, de même que des connaissances en finance internationale.le 31/05/2016 à 14:55
-
GrogroMembre extrêmement actifTu crois qu'on a demandé l'avis aux pays d'Afrique de l'ouest et d'Afrique centrale qui utilisent le franc CFA ? J'ai comme l'intuition que le dirigeant africain qui tenterait de sortir de cette union monétaire ne ferait pas long feu, et qu'il se mangerait une révolution ou un coup d'état militaire dans la gueule.le 07/06/2016 à 9:38
-
MABROUKIExpert confirmébonjour
C'est connu ,une erreur technique est admissible car réparable mais une erreur comptable est un crime puni par la loi...
Je ne peux pas dire j'ai pris par erreur ce petit MILLARD d'euros ou DOLLARS de votre compte ,euh pardon, par ERREUR ....
Car personne ne me croira !!!
IL N' A PAS D'ERREUR QUANQ IL S'AGIT D'ARGENT SAUF POUR LES NAIFS !!!le 17/10/2016 à 0:44 -
athlon64Membre confirméCe qui est aussi effrayant c'est le système bancaire en lui même qui ne repose sur rien de concret la plupart du temps.
Les banques se font des bénéfices en prêtant de l'argent qu'elles ont pas, c'est à dire c'est au moment de votre prêt
que la banque va créer l'argent et bien sûr au remboursement vous, vous lui payez les intérêts en plus.le 17/10/2016 à 12:31 -
ZirakInactifSi j'ai bon souvenir, normalement elle peut prêter l'équivalent de 12,5 fois son capital, mais ce n'est jamais respecté (et cela a pu changer depuis).le 17/10/2016 à 13:32
-
athlon64Membre confirméJ'ai aussi entendu parler de ce levier qui abaissé pour atteindre 1/10, ça doit être dans la video "l'argent dette" sur youtube.
Mais aux dernières nouvelles ce levier n'existe plus... Les banques combinent tellement qu'elles peuvent faire des prêts comme elles veulent.
J'ai trouvé un viel article de 2001
"Troisième mesure, l'abaissement du niveau de réserve obligatoire des banques, de 2 % à 1 %. Ce taux, qui représente le montant que les banques doivent placer en réserve auprès des banques centrales à chaque fois qu'elles accordent un prêt, a perdu de son importance depuis que la BCE offre des liquidités à un volume illimité aux banques."
Si on combine à la définition de wikipedia
"Ces réserves obligatoires sont rémunérées à un niveau indexé sur la moyenne du taux de refinancement des opérations principales de refinancement de l’Eurosystème, soit un taux qui était de 1 % en 2010, puis a atteint 1,5 % en août 20115, avant de redescendre à 1,25 % fin 2011, puis 1 % en janvier 20126, 0,5 % puis 0,25 % en 2013, pour atteindre 0,15 % en juillet, 0,05 % le 10 septembre 2014, puis 0,00 % à partir du 16 mars 2016"
Pour SWIFT, les USA ont essayé de limiter les usages de la Russie du réseau, Poutine a créé un réseau alternatif les chinois ont suivi avec les BRICS...
Ça ne m’étonnerait qu'on sorte un article pour accuser les auteurs des attaques d'être des Russes(les méchants).le 18/10/2016 à 21:38 -
Merci pour l'article, se fut informatif.le 05/04/2017 à 10:45
-
marsupialExpert éminent* matériel antédiluvien
* soft évidemment pas à jour
* pas l'once d'un firewall donc sécurité de la même facture
Et ce serait les techos SWIFT en cause pour négligence ?!??
Conclusion du quotidien : on ose espérer que la sécurité des Banques Centrales n'est pas comme celle du Bangladesh.le 11/05/2016 à 2:32