La banque ouverte à l’épreuve de la sécurité

Pendant plusieurs années, des groupes criminels comme FIN7 et Carbanak (CobaltGoblin ou EmpireMonkey) ont fait trembler le secteur de la finance. Derrière ces noms barbares inconnus du grand public se cachent certaines des campagnes de cybercrime les plus importantes : Fin7 aurait réussi à dérober plusieurs millions de dollars – pour certains, 1 milliard – en s’attaquant à de multiples entreprises partout dans le monde. Rien qu’aux États-Unis, il serait à l’origine du vol de plus de 15 millions de numéros de cartes bancaires depuis plus de 3 600 lieux. Quant à Carbanak, son principal fait d’armes est d’avoir réalisé en 2015 le « casse du siècle », en dérobant 1 milliard de dollars à une centaine de banques.

Si ces deux exemples sont exceptionnels, ils illustrent la fragilité tant de l’industrie financière que de ses clients face à la menace d’une cyberattaque. Il serait facile d’accuser les entreprises de ne pas sécuriser leurs infrastructures et les utilisateurs de ne pas appliquer les bons gestes. La réalité est pourtant différente.

La cybersécurité est l’une des inquiétudes les plus prégnantes pour les acteurs du secteur de la finance et ils ont été parmi les premiers à prendre la mesure du risque. Il faut dire que les institutions bancaires et financières, mais aussi leurs clients, doivent affronter chaque jour des milliers d’attaques, dont les méthodes et l’envergure varient, mais qui partagent toutes un réel pouvoir de nuisance. Certaines menaces deviennent malgré tout prédominantes.

Le concept de « banque ouverte » à l’épreuve de la sécurité

Pendant des décennies, les banques ont exercé un contrôle absolu sur les données de leurs clients et leurs données propres, tirant très tôt profit de l’émergence des technologies de sécurité et de gestion des identités. Aujourd’hui, l’industrie bancaire et financière compte parmi les mieux protégées contre les attaques et les fuites de données.

Mais l’émergence du concept de « banque ouverte » pourrait bien changer la donne. Avec la mise en application de la directive DSP 2 notamment, et l’évolution des attentes des clients, les banques doivent relever un défi de taille : le partage de leurs précieuses données, et celles de leurs clients, avec des entreprises tierces – agrégateurs de comptes, banques concurrentes, start-up et autres FinTechs. Une simple API mal intégrée dans une application peut entraîner un risque de fuite de données, engageant la responsabilité de tous les acteurs impliqués. Au-delà du simple partage des données, les banques ont également intérêt à nouer de vrais partenariats stratégiques avec certains de ces tiers, pour que l’ouverture soit créatrice de valeur de manière bilatérale. Elles vont donc travailler et ouvrir des ponts de communication avec des entreprises… sans avoir toujours une compréhension claire et complète de leur niveau de sécurité, s’exposant à de nouveaux risques sur lesquels elles n’ont que peu de contrôle.

Le secteur bancaire n’est pas le seul à évoluer. Les cybercriminels, eux aussi, cherchent constamment à innover. Les dernières années ont été marquées par une importante évolution du paysage des menaces financières, avec l’émergence de nouveaux modes opératoires et techniques d’infiltration, et une géographie plus large. L’un des changements les plus importants est sans aucun doute l’exploitation de la chaîne d’approvisionnement comme vecteur d’attaques. Concrètement, des cybercriminels attaquent une entreprise, souvent mal protégée, et l’utilisent ensuite comme porte d’entrée vers une ou plusieurs autres entreprises. Il n’est pas difficile d’imaginer l’intérêt que revêt pour eux l’ouverture des banques à un écosystème.

La menace intérieure

Au-delà des menaces extérieures, celles venant de l'intérieur ne sont pas non plus à négliger, lorsque l’on compte près de 150 000 employés dans certains grands groupes bancaires français ! Tous secteurs confondus, plus de 80 % des incidents informatiques sont dus à une erreur humaine ; elle peut être liée à une méconnaissance ou à une inattention, mais les cybercriminels ont aussi leur part, grâce aux techniques d’ingénierie sociale. Afin de pénétrer le réseau d'une entreprise sans avoir à dépenser des milliers d’euros et perdre des semaines à chercher une faille existante sur le système informatique, ils font en sorte qu’un employé devienne cette faille. Pour cela, ils lui envoient des e-mails personnalisés encore et encore, en se faisant passer pour son manager, pour une connaissance ou encore en envoyant des e-mails publicitaires en lien avec ses centres d’intérêt, comme le ferait une basique campagne de phishing [1] . Cette méthode est devenue particulièrement efficace avec la multiplication des fuites de données au cours des dernières années, le ciblage étant facilité par la multiplication des informations personnelles disponibles en ligne.

Quand crime traditionnel et cybercrime convergent

En plus des nouveaux modes d’attaques, les banques doivent également s’adapter à l’évolution de menaces historiques qui visent directement leurs clients et qui profitent de l’émergence des outils numériques pour gagner en complexité. C’est le cas de la fraude à la carte bancaire avec l’explosion des paiements en ligne, sur ordinateur et sur mobile : en 2018, ce ne sont pas moins de 439 millions d’euros qui ont été détournés des comptes bancaires des Français, soit une augmentation de 56 % entre 2015 et 2018 [2] . La fraude en ligne n’est pas seule responsable de cette hausse, mais elle est un indéniable facteur aggravant. Là encore, le phishing est largement utilisé : au second trimestre 2018, par exemple, plus d’un tiers des attaques de phishing, ont spécifiquement ciblé les consommateurs de services financiers [3] . Il est à noter que la directive DSP 2 va imposer, entre autres, aux sites marchands une authentification forte pour les paiements en ligne, dans le but de mieux sécuriser les transactions et limiter la fraude.

Les technologies mobiles, porte d’entrée vers nos comptes bancaires

Les malwares bancaires, conçus pour vider le contenu du compte en banque des utilisateurs à leur insu, constituent une autre menace incontournable. Ils n’ont jamais été aussi nombreux : en 2018, Kaspersky a repoussé 962 947 023 attaques dans plus de 187 pays différents, et le nombre d’installations a triplé entre le 1^er et le 2^nd semestre [4] . Cette hausse s’explique par la créativité des cybercriminels, qui imaginent constamment de nouveaux logiciels malveillants, afin de les rendre plus sophistiqués, plus discrets et plus difficiles à détecter. Les solutions techniques permettent de s’en protéger, mais c’est surtout la vigilance des utilisateurs qui permet de réduire l’impact de la menace.

Cryptomonnaies : l’objet de toutes les (mauvaises) attentions

Souvent réduites au bitcoin, les cryptomonnaies pâtissent d’une réputation sulfureuse, concentrant espoirs de richesse des utilisateurs et méfiance des régulateurs. Ces derniers s’inquiètent notamment de l’usage de plus en plus fréquent des monnaies numériques dans le cadre d’activités criminelles, notamment le blanchiment d’argent, le financement du terrorisme ou encore l’évasion fiscale. Selon l’ancien directeur d’Europol, Rob Wainwright, le blanchiment d’argent représenterait à lui seul 5,5 milliards d’euros.

Si le crime traditionnel a su très tôt exploiter les cryptomonnaies, ces dernières ont également attiré l’attention d’une génération d’acteurs malveillants, les cybercriminels, attirés par l’absence de régulation et le manque de maturité du secteur.

Pendant longtemps, nous avons cru les cryptomonnaies protégées du cybercrime par le pouvoir de la blockchain, mais nous savons aujourd’hui qu'elle n’est pas infaillible. Certes, les avantages de la blockchain protègent les monnaies elles-mêmes, car elles sont coûteuses et complexes à attaquer. En revanche, ils ne protègent pas les plates-formes d’échange de devises électroniques – permettant d’échanger une cryptomonnaie contre une autre ou contre une devise traditionnelle – qui recèlent des failles traditionnelles. Depuis deux ans, plusieurs attaques d’ampleur sont à déplorer et le rythme ne faiblit pas. Rien qu’en juin 2019, au moins deux plates-formes ont été visées : la plate-forme d’échange singapourienne Bitrue a reconnu avoir été victime d’une attaque ayant permis aux criminels de mettre la main sur l’équivalent de plus de 4 millions de dollars ; quelques jours avant, 9,5 millions de dollars avaient été dérobés à des utilisateurs de GateHub.

Le choix des plates-formes d’échange n’a rien d’anodin. Ces systèmes centralisés permettent de piller des milliers de portefeuilles d’un seul coup, via l’exploitation d’une faille unique, en injectant par exemple un script malveillant dans le code source. À ce jour, la plupart des plates-formes restent vulnérables à la majorité des méthodes d’attaque connues, y compris le phishing.

Malgré la variété et la gravité des risques, il est impossible aujourd’hui d’imaginer revenir en arrière et réduire la dépendance du secteur financier aux nouvelles technologies. C’est pourquoi, si nous espérons un jour remporter la lutte contre le cybercrime, la sécurité telle qu’elle existe aujourd’hui ne suffit plus. L’objectif doit être d’immuniser les technologies bancaires et financières contre les cybermenaces de manière à ce que chaque utilisateur – particulier ou professionnel – puisse les utiliser en toute confiance en ayant la certitude qu’elles sont protégées. Pour y parvenir, nous devons faire en sorte que le bénéfice espéré d’une attaque ne couvre pas les investissements nécessaires à sa mise en place. En somme, que le cybercrime ne paie plus.