Swift : fraude massive sur le réseau interbancaire

RisquesSécuritéVirus
swift-fraude

La banque centrale du Bangladesh n’est pas la seule touchée par le malware qui a infecté le réseau Swift. D’autres institutions financières sont concernées.

Dépouillée de 81 millions de dollars par des cybercriminels, la banque centrale du Bangladesh n’est pas la seule victime du malware qui a infecté Swift, du nom de ce réseau international utilisé par des milliers d’établissements dans le monde pour transférer chaque jour des milliards d’euros.

Son exploitant, une société de droit belge détenue par quelque 3 000 institutions financières, confirme avoir décelé « un certain nombre de cyber-incidents » au cours desquels des assaillants ont envoyé des messages frauduleux sur son infrastructure « depuis des systèmes back-office, des PC et des stations de travail connectés par une interface locale au réseau Swift ».

Ni les noms des victimes*, ni les montants en jeu ne sont spécifiés dans l’alerte que Swift a diffusé de confidentielle sur son réseau… et que Reuters a relayée.

Selon la firme anglaise BAE Systems, la faille se situe au niveau du logiciel client Access Alliance, détourné par l’intermédiaire d’une souche infectieuse nommée evtdiag.exe.

Celle-ci a permis d’effacer des enregistrements de transferts sortants, d’intercepter des messages entrants destinés à confirmer les ordres passés par les hackers, ou encore manipuler des soldes sur des enregistrements afin de couvrir la fraude.

Les mécanismes sont sophistiqués, mais les pirates ont aussi bénéficié des négligences de la banque bangladaise, parvenant à espionner ses employés pour récupérer des codes d’accès au réseau Swift.

Choisie pour enquêter sur cette affaire, la société américaine FireEye, spécialisée dans la réponse aux incidents, explique que des attaques ont été lancées contre d’autres organisations de services financiers, probablement par le même groupe de cybercriminels.

En conséquence, Swift a publié une mise à jour de son logiciel client. L’installation sera impérative à partir du 12 mai. Elle doit permettre, comme le note Silicon.fr, d’identifier les situations où des attaquants auraient tenter de masquer leurs traces, soit manuellement, soit via le malware.

* 11 000 banques et autres établissements financiers utilisent le réseau Swift, mais seulement une partie d’entre eux fonctionnent avec le logiciel Alliance Access.