droitdu.net

Un site utilisant Plateforme OpenUM.ca

Pourquoi braquer une banque lorsque l’on peut la hacker ?

Étudiant dans le cadre du cours DRT-6929O.
19 avril 2016
Commentaires
Permalien

La révolution digitale semble tout emporter sur son passage tel un raz de marée. Après avoir transformé les livres en tablettes et les CDs en fichiers mp3, le tsunami numérique serait en passe de changer les armes à feu en clavier ! Appuyer sur les touches d’un clavier plutôt que sur une gâchette parait peu effrayant à première vue, mais la Banque Centrale du Bengladesh a bien failli se faire voler près d’un milliard de dollars américains en ce début d’année 2016. Comment les malfaiteurs ont-ils réussi à infiltrer le système informatique d’une banque centrale d’un pays d’environ 169 millions d’habitants ? Quels risques encourent-ils s’ils étaient retrouvés ? Menons l’enquête à travers l’Asie et l’Amérique afin d’en savoir plus sur la plus grosse tentative de braquage digitale de l’histoire.

Autopsie d’un braquage à 100 millions de dollars US

L’affaire parait tellement surréaliste qu’il a fallu plus d’un mois avant que les faits ne soient révélés au public et poussèrent ainsi Atiur Rahman, Gouverneur de le banque centrale du Bengladesh, à démissionner. Les faits ont ainsi été commis au mois de février 2016, mais n’ont été rendu public qu’au mois de mars. Tout débute donc à Dhaka, capitale du Bengladesh, dans la nuit du 4 au 5 février. Dans un bureau situé au huitième étage de l’immeuble de la banque centrale du Bengladesh, un employé oublie de se déconnecter d’un ordinateur. Pas de n’importe quel ordinateur cependant, puisqu’il s’agit de celui qui accueille SWIFT.

SWIFT, connu pour Society for Worldwide Interbank Financial Telecommunication, est un système permettant aux banques de communiquer entre elles et ainsi de réaliser des virements bancaires. L’employé ne savait probablement pas qu’un programme malvaillant (un « malware » dans le jargon informatique) était déjà présent au sein du système informatique de la banque depuis un bon moment. Nul ne peut encore prédire depuis quand, mais celui-ci attendait patiemment une légère faille, oublier de se déconnecter du système par exemple, dans la procédure de sécurité de la banque. C’est à cet instant que les hackers en profitent pour réaliser plusieurs virements bancaires internationaux à partir d’un compte de la FED de New York (Federal Reserve), la banque centrale des Etats-Unis. Il est aujourd’hui possible de connaître le parcours de ces flux bancaires. Certains virements ont transité par des casinos situés aux Philippines et au Sri Lanka, alors que d’autres ont été versé sur des comptes en banque factices usurpant l’identité d’hommes d’affaires asiatiques.

Au total, l’addition s’élève à plus de 100 millions de dollars US. Toutefois, le braquage aurait pu être beaucoup plus sévère si les hackers n’avaient pas commis une faute de frappe des plus basiques. Lors d’un transfert d’argent, les criminels écrivirent comme destinataire la « Shalika Fandation » au lieu de « Shalika Foundation », un comble pour des hackers. La totalité des réserves de la banque centrale du Bengladesh s’élevant à un milliard de dollars US, il y a fort à parier que les braqueurs auraient pu s’emparer de toute cette somme. Les criminels n’ont à ce jour toujours pas été identifiés.

Que prévoit la loi pour se protéger contre de telles menaces ?

Si les pertes engendrées par le piratage de données personnelles sont estimés à 2 milliards de dollars canadiens par an au Canada, quels sont les mécanismes mis en place par l’appareil de justice canadien pour protéger ses citoyens ou ses entreprises contre les cyberattaques? Nous pouvons d’ailleurs retrouver un précédent de cyberattaque contre une banque canadienne en mars 2013. Ce fut ainsi le cas de la Banque TD qui même si elle n’a pas perdu directement d’argent de ses caisses, a quand même vu son service paralysé durant plusieurs heures.

Alors que le gouvernement du Canada informe ses citoyens quant aux meilleures pratiques en termes de cybersécurité, il ne semble pas que le ministère de la Justice soit aussi réactif. En effet, Gouvernement Canada propose des blogues spécialisés pour attirer l’attention des chefs d’entreprises mais la loi évolue-t-elle vraiment ? Les récentes modifications légales en termes de cybercriminalité concernent plus la protection des citoyens que des institutions financières ou des entreprises de manière plus globale. Ainsi, Loi sur la protection des Canadiens contre la cybercriminalité (L.C. 2014, ch. 31) vient par exemple pénaliser une «infraction de distribution non-consensuelle d’images intimes » mais pas de cyberattaques à grande échelle.

En effet, quelle pourrait-être la sentence de pirates informatiques s’ils s’en prenaient à la Banque du Canada ? Voici ce que nous propose le Code criminel : «

334. Sauf disposition contraire des lois, quiconque commet un vol est coupable d’un acte criminel et passible d’un emprisonnement maximal de dix ans, si le bien volé est un titre testamentaire ou si la valeur de ce qui est volé dépasse cinq mille dollars;

Une peine maximale de 10 ans pour un braquage d’un milliard de dollars US, est-ce suffisant ? À vous d’en juger.

Au niveau opérationnel, si le braquage de la banque centrale du Bengladesh avait eu lieu sur nos terres, les criminels auraient eu à faire à la Gendarmerie Royale du Canada (GRC). Un des mandats de la GRC est ainsi de lutter contre la criminalité technologique et nous rappelle que « les pirates sont des criminels ». Des actions gouvernementales sont de plus misent en place afin de pallier à ce problème : « Le Bureau du surintendant des institutions financières (BSIF) a publié des conseils sur la cybersécurité afin d’aider les institutions financières sous réglementation fédérale à évaluer l’adéquation de leurs pratiques et à déterminer les changements requis pour adopter les pratiques exemplaires de l’industrie ». La coopération entre l’État et les entreprises du pays a donc bien démarré de manière tangible. Le Centre Canadien de réponse aux incidents cybernétiques (CCRIC) a ainsi été créé, dont la mission

« contribue à assurer la sécurité et la résilience des cybersystèmes essentiels qui sous-tendent la sécurité nationale, la sécurité publique et la prospérité économique du pays ».

CONCLUSION

A l’instar du piratage des fonds de la banque centrale du Bengladesh, peut-être le Canada attend-il une cyberattaque d’envergure avant de prendre en compte au niveau légal ce genre de crime ? Il n’en demeure pas moins que des opérations précises sont développées par le gouvernement afin de prévenir ce type de risques devenu majeur en 2016.

Sur le même sujet

Derniers tweets