Le réseau SWIFT a été attaqué

Publié le 2 Mai 2016

SWIFT est conscient d’un nombre de cyber incidents récents, dans lesquels des attaquants malicieux d’origine interne ou externe, ont réussi à envoyer des messages provenant d’institutions financières, de back-offices, de PC ou de stations de travail connectés à leur interface locale au réseau SWIFT

SWIFT

Le réseau SWIFT a été attaqué

Le réseau SWIFT a été attaqué

Le réseau interbancaire mondial SWIFT (Society for Worldwide Interbank Financial Telecommunication) a reconnu lundi dernier s’être fait attaquer.

81 millions de dollars ont ainsi été dérobés à la banque centrale du Bengladesh, mais la perte, aujourd’hui circonscrite, aurait pu être beaucoup plus importante.

Le message est tombé lundi 25 avril. SWIFT, le réseau interbancaire coopératif géré par 3000 établissements bancaires et qui héberge les échanges de plus de 11000 établissements dans le monde, reconnaît avoir été victime d’une attaque informatique dont la première victime a été la banque centrale du Bengladesh, pour un montant de 81 millions de dollars.

SWIFT, qui a reconnu l’attaque, a précisé d’emblée qu’il n’y avait pas eu d’impact sur les réseaux de SWIFT ou le cœur des services de messagerie.

L’alerte a été chaude

Néanmoins, l’alerte a été chaude : selon une note de SWIFT révélée par l’agence de presse britannique Reuters, l’incident n’est pas isolé : « SWIFT est conscient d’un nombre de cyber incidents récents, dans lesquels des attaquants malicieux d’origine interne ou externe, ont réussi à envoyer des messages provenant d’institutions financières, de back-offices, de PC ou de stations de travail connectés à leur interface locale au réseau SWIFT ».

Toujours selon les informations de Reuters, les pirates auraient essayé de dérober en février dernier 951 millions de dollars du compte de de la banque centrale du Bangladesh auprès de la Réserve Fédérale de New York (FED), au moyen d’une attaque informatique.

Selon les informations de BAE, une entreprise britannique spécialisée dans la défense et la cybersécurité, qui a communiqué sur son blog lundi, ce malware, un exécutable nommé evdtiag.exe a été créé pour cacher les moyens par lesquels les pirates dérobent l’information des bases de données de la banque centrale du Bengladesh qui trace les informations sur les demandes de transfert d’argent. L’exécutable devait comporter un changement de deux octets pour être opérationnel, mais une erreur d’orthographe de la part des auteurs de l’attaque, qui a pu être détectée, a pu empêcher un vol plus massif, qui aurait effectivement pu atteindre le milliard de dollars. Les attaquants auraient aussi obtenu des droits d’accès valides réservés aux opérateurs de SWIFT pour créer et approuver des messages, puis soumettre de faux messages en se faisant passer pour ces opérateurs : il y aurait eu donc, et sous toute réserve, usurpation d’identité. Au-delà du seul malware, c’est donc bien une attaque informatique complète qui a été organisée.

Adrian Nish, responsable de la threat intelligence chez BEA, a notamment déclaré « ne jamais avoir vu une attaque aussi élaborée de la part de hackers ». Il est à craindre que d’autres institutions financières aient été visées, selon les experts de FireEye, mandatés par la banque centrale du Bengladesh pour enquêter.

Des solutions de sécurité à ne pas oublier

Sans connaître le détail de l’attaque, on peut souligner dans le scénario ainsi raconté que la modification de 2 octets dans un code est assez facile à identifier si des mécanismes de signature des codes sont mis en œuvre. Dans certains cas, un simple contrôle d’intégrité sur un hash peut suffire comme première mesure. La signature apporte ensuite une plus grande robustesse. Les grandes banques internationales le savent et le mettent en place.

Une telle technique n’a rien à voir avec les antimalwares et les produits sophistiqués de détection d’APT, mais les complètent utilement. On voit aussi que la qualité du code peut être utilisée comme vecteur d’attaque en exploitant des faiblesses. Des solutions d’audit de codes existent désormais. Il faut les appliquer pour des tels systèmes.

L’audit et la signature de codes sont des processus simples, que l’on oublie souvent de mettre en œuvre lorsque l’on n’écoute que les éditeurs d’antimalwares.

Concernant l’utilisation des droits d’accès, il existe là aussi des moyens efficaces : ce sont les bastions d’administration qui contrôlent et tracent les actions des administrateurs. À côté de ce bastion, des solutions d’IAM avec des modèles RBAC gagneront aussi être mis en œuvre.

Des mesures de sécurité qui laissent à désirer

Selon Reuters, les enquêteurs de la police bengladaise ont déclaré de leur côté que les mesures de sécurité de la banque laissaient à désirer, notamment au niveau des précautions les plus élémentaires. Des pare-feux n’auraient notamment pas été installés.

SWIFT a par ailleurs exhorté, via sa porte-parole Natasha Deteran, les institutions financières et les clients de SWIFT à « faire leur possible pour se protéger contre de telles attaques ». De quoi renforcer les procédures de sécurité dans les échanges d’argent inter-bancaires.

source : http://www.mag-securs.com/news/articletype/articleview/articleid/34761/le-reseau-swift-a-ete-attaque.aspx

Repost 0
Commenter cet article