Inquiétude autour de la protection des systèmes Swift

La banque centrale du Bangladesh s’est faite voler rien moins que 81 M$, sans violence ni effraction physique. Selon les découvertes de BAE Systems, les pirates auraient réussi à avoir accès au cœur du système de gestion des règlements SWIFT de la banque. Ils auraient installé sur ce dernier un logiciel malicieux disposant de « fonctionnalités sophistiquées pour interagir avec le logiciel SWIFT Alliance Access fonctionnant sur l’infrastructure de la victime ».

Pour pouvoir prendre une telle position privilégiée dans l’infrastructure de la banque, les pirates semblent avoir profiter d’une sécurité très limitée. Selon les enquêteurs, aucune protection digne de ce nom n’était en place ; il n’y avait pas même de pare-feu et des routeurs grand public, d’occasion, étaient utilisés.

Dans un communiqué, SWIFT estime d’ailleurs que le logiciel malveillant en question « ne peut être installé que les systèmes locaux que par des attaquants ayant identifié et exploité avec succès des vulnérabilités dans la sécurité locale » des utilisateurs de SWIFT Alliance Access.

L’organisation précise aussi avoir mis en place une entité « pour assister les clients dans l’amélioration de leur sécurité et pour identifier les incohérences dans leurs enregistrements de bases de données locaux », tout en soulignant que « la défense clé contre de tels scénarios d’attaque reste l’implémentation de mesures de sécurité appropriées ».

Et justement, il ne manque pas de raisons de s’inquiéter. BAE Systems relève ainsi que « l’outil a été développé sur mesure pour cette opération, et montre un niveau de connaissance significatif du logiciel SWIFT Alliance Access ». Sans compter que le logiciel malveillant en question « semble n’être qu’une partie d’une trousse à outils d’attaque plus vaste […] hautement configurables et qui pourrait être utilisés pour de prochaines attaques similaires », à supposer qu’un accès puisse être obtenu aux systèmes exécutant le logiciel.

Dans le cas de la banque centrale du Bangladesh, les pirates ont tenté de forcer des virements frauduleux pour un montant de 951 M$. Mais la majorité des ordres de paiement ont été bloqués.