Swift : les tentatives de détournement continuent, plus discrètement

Ce n’est pas une surprise. Fin 2016, Swift prévenait ses clients : « la menace est très persistante, adaptative, et sophistiquée. Et elle est là pour longtemps ». Cette note d’information destinée aux organismes financiers utilisateurs du service de messagerie faisait suite à plusieurs détournements de fonds conduits justement via celui-ci. Dans le courant du mois de juillet de précédent, Swift avait engagé BAE Systems et Fox-IT pour l’aider à renforcer la sécurité des systèmes connectés à son service chez ses clients ; l’une des mesures prises dans le cadre de son plan de renforcement de la sécurité du système, en cinq points, annoncé au mois de mai 2016.

Swift était manifestement bien inspiré. Mi-avril, l’organisme a ainsi publié un rapport pour faire le point sur la situation trois ans après le détournement retentissant sur la banque centrale du Bangladesh. Et la menace reste bien présente. Mais les banques clientes du service de messagerie n’apparaissent plus aussi vulnérables. Pour autant, les assaillants s’adaptent.

Ainsi, au cours des 15 derniers mois, des banques clientes de Swift ont bien été visées : « dans la majorité des cas, les attaques [observées] étaient dans la phase de reconnaissance ; des stations de travail avaient été compromises, mais les attaquants n’avaient pas encore été en mesure d’accéder aux systèmes de paiement des banques ». Les cibles ne sont pas nommées, mais « dans la plupart des cas », elles se trouvent dans des pays présentant un risque élevé, voire très élevé, de corruption – en Afrique, en Asie, ou encore en Amérique latine.

Point intéressant, susceptible de renseigner sur les vecteurs d’attaque : « dans la vaste majorité des cas étudiés, les transactions frauduleuses ont été saisies en utilisant l’interface utilisateur graphique », sans passer, donc, par les applications transactionnelles de back office.

Cherchant à se faire plus discrets, les cyber-délinquants semblent afficher un profil plus bas, misant sur des montants moins susceptibles d’éveiller les soupçons en déclenchant des mécanismes de détection de fraude : « jusqu’au début 2018, nous observions généralement des montants de transaction de l’ordre de dizaines de millions de dollars », mais désormais, la fourchette s’étend plutôt de quelques centaines de milliers de dollars, à deux millions de dollars, par transaction frauduleuse.

Et puis, les assaillants prennent leur temps : « ils vont souvent s’infiltrer et attendre des semaines, voire des mois, avant de lancer une attaque, utilisant ce temps pour apprendre les comportements et planifier leur fraude ». Parce que certains n’hésitent pas à essayer d’envoyer des messages transactionnels « durant les heures ouvrées pour se cacher dans le trafic légitime » de l’organisation visée. Et de chercher également ainsi à pouvoir retirer les fonds transférés aussi vite que possible… Via des mules qui, très majoritairement, se trouvent dans la région Asie-Pacifique.