« Sans arme, ni haine, ni violence ». Tel était le crédo du célèbre braqueur français Albert Spaggiari alors qu’il réalisait le casse du siècle à la Société Générale de Nice en 1976, empochant tout de même l’équivalent de 30 millions d’euros au passage. Cette devise pourrait être celle du groupe Carbanak, un collectif de hackers qui aurait accumulé plus d’un milliard d’euros sous le nez des banques, grâce au plus ambitieux braquage de tous les temps. De quoi faire passer notre Albert national pour un vulgaire pickpocket du Dimanche.
Du phishing au contrôle à distance
En février dernier, Kaspersky, une société de sécurité informatique russe, a dévoilé au grand jour une arnaque massive dont était victime une centaine de banques à travers le monde depuis 2013. C’est un gang de hackers surnommé Carbanak, comme le virus qu’il utilisait, qui est à l’origine de ce record. Ils ont pour cela utilisé des techniques répandues parmi les cyber-attaques. Tout commence par de banales usurpations d’identités, une technique appelée phishing en sécurité informatique. Le pirate enquête longuement sur l’organisation d’une banque et ses employés puis sélectionne les cibles à qui il enverra un mail infecté personnalisé. De là il peut remonter aux comptes des administrateurs du réseau pour avoir accès, en particulier, aux caméras de surveillances. C’est en étudiant précisément l’emploi du temps et les tâches de chaque employé via le système de vidéosurveillance que les hackers ont pu utiliser leurs ordinateurs à distance sans se faire repérer pendant deux ans.
Nombre d’établissements infectés par Carbanak à travers le monde
Une stratégie bien ficelée
Pour ce qui est du vol à proprement parler, les hackers se sont limités à de petits transferts vers des comptes chinois ou américains, c’est la quantité de ces transferts qui leur a permis d’amasser un tel magot. Ils sont même parvenus à gonfler la valeur du compte de certains clients et viraient le surplus sur leurs comptes personnels ce qui permet de ne pas éveiller les soupçons du client car la valeur de son compte reste par conséquent inchangée au cours de l’opération. Mais le clou du spectacle reste le piratage du réseau de distributeurs de leurs victimes, les hackers de Carbanak sont effet parvenus à dépasser la dimension numérique de leur attaque en programmant à leur guise des distributeurs afin qu’ils crachent de grosses quantités d’espèces à des heures précises ; il ne leur restait donc plus qu’à se poster devant pour ramasser le butin.
Les pirates règnent encore en maître sur le réseau informatique mondial
Cette attaque est révélatrice de la faiblesse des banques et plus généralement des entreprises face au piratage. Un quart d’entre elles échouent lors des audits de sécurité, et il n’existe pas de protection infaillible contre le phishing évoqué plus haut, celui-ci exploitant des erreurs humaines et non pas des failles informatiques. En tout (c’est-à-dire en comptant les vols d’argent mais aussi de propriété intellectuelle, d’informations stratégiques des entreprises etc…), les pertes liées à la cybercriminalité dans le monde atteindraient les 400 milliards de dollars selon le CSIS (Center for Strategic and International Studies) ce qui fait des pirates informatiques les voleurs les plus productifs. Les 160 hackers russes arrêtés entre 2012 et 2015 ont chacun volé en moyenne 5 millions de dollars, un chiffre d’affaire équivalent à la vente de 60 kg de cocaïne.
Jeu de briques
Snake
Pacman
Bubble