[Les 5 affaires qui ont marqué la cybersécurité] En 2016, la banque centrale du Bangladesh se fait dérober 81 millions de dollars lors d’un cybercasse. Les voleurs ont cependant bien failli partir avec un butin encore plus conséquent.

Ce vendredi 5 février 2016, à Dacca, quelque chose ne tourne pas rond à la Bangladesh Bank, la banque centrale du pays éponyme. Plus rien ne sort de l’imprimante du dixième étage. Une machine pourtant cruciale pour le fonctionnement de l’institution bancaire : elle imprime tous les transferts financiers entrants et sortants. Quand ce qui ressemble à un simple bug est enfin corrigé, les employés ont des sueurs froides. Des dizaines de transactions suspectes, 35 exactement, ont été opérées depuis la veille.

Dans l’urgence, la banque centrale réussit à annuler un transfert de 20 millions de dollars. Mais elle doit faire une croix sur 81 millions qui s’évaporent aux Philippines. Et encore, la Bangladesh Bank a eu de la chance. L’essentiel des demandes de transfert initiées à travers la plateforme Swift (pour Society for worldwide interbank financial telecommunication), ce système utilisé par les institutions financières du monde entier, ont été bloquées à cause d’une simple coïncidence.

Hacker qui code cyber
Source : Montage par Nino Barbey pour Numerama

Un cybercasse qui a marqué le secteur

L’une des succursales bancaires de destination pour les virements les plus importants (951 millions de dollars en tout) avait en effet pour adresse Jupiter Street, à Manille. Or « Jupiter » est le nom d’une compagnie maritime blacklistée pour ne pas avoir respecté l’embargo international contre l’Iran. La transaction a donc été automatiquement bloquée par la Réserve fédérale de New-York, aux Etats-Unis, qui gère les comptes en dollars de la banque centrale de Dacca.

Mais même s’il est loin d’avoir atteint ses objectifs initiaux, ce cybercasse est resté dans les annales. Bien qu’ils aient finalement commis une erreur qui leur a coûté cher, le mode opératoire des attaquants s’est révélé particulièrement ingénieux. Pour siphonner les comptes de la Bangladesh Bank, les auteurs du casse ont discrètement pris le contrôle de l’informatique de la banque centrale. De manière à pouvoir opérer ensuite des virements légitimes dans le système Swift, effacés ensuite des archives des ordinateurs locaux.

Pirater l’imprimante pour dissimuler les transferts

Pour faire main basse sur des identifiants légitimes d’employés de la banque centrale, les hackers ont eu recours à la technique du hameçonnage. Ainsi, un mail de janvier 2015, une fausse demande d’emploi, contenait un lien frauduleux, soi-disant vers un CV et une lettre de motivation. Après être entrés dans les murs, les pirates ont discrètement pris le contrôle, un à un, des ordinateurs. Restait enfin la dernière touche finale : pirater l’imprimante du dixième étage pour dissimuler les transferts. Et choisir avec soin la date du cybercasse, si possible la veille d’un week-end. Avec le résultat que l’on sait.

Très rapidement, la Corée du Nord est soupçonnée d’avoir joué un rôle dans le braquage. L’éditeur Symantec signale ainsi, en mai 2016 des similitudes dans le code avec des techniques déjà employées par le groupe Lazarus. Un gang observé par les chercheurs en sécurité depuis la fin des années 2000 et soupçonné d’avoir des liens étroits avec le régime de Pyongyang. Des indices qui conduisent la justice américaine à inculper en septembre 2018 un informaticien nord-coréen, Park Jin Hyok, toujours recherché par le FBI, poursuivi pour ce cybercasse d’Etat.

Qu’un Etat souverain devienne le principal suspect d’une affaire plus proche du grand banditisme est plutôt surprenant. Mais l’hypothèse est crédible, tant le régime nord-coréen, frappé par des sanctions financières à cause des ses programmes militaires, est aux abois. Il aurait même industrialisé le concept, avec une une équipe de pirates informatiques, les « BeagleBoyz », chargés spécifiquement des attaques de banque et autres vols de cryptomonnaie. Des activités cybercriminelles qui sont aujourd’hui « probablement une source majeure du financement » de la dictature, selon le Cert américain.

Ceci est le 5e volet de notre série « Les 5 affaires qui ont marqué la cybersécurité. Le premier était consacré à Cryptolocker, le premier ransomware moderne. Le 2e a un logiciel vérolé que les Américains ont volontairement refilé aux Soviétiques pendant la guerre froide, le 3e à la menace Michelangelo, et le 4e au ver Wank infiltré dans des ordinateurs de la Nasa.