Les pirates à l’abordage des institutions financières

Prudence si vos clients utilisent le portail AccèsD du Mouvement Desjardins. Ce dernier est en effet la cible d’une opération de fraude par messagerie texte de la part de pirates informatiques, notamment russes, révèle le Journal de Montréal. Et la coopérative n’est pas la seule à être victime de ce type de crime.

La méthode employée est relativement simple et reprend les codes classiques du hameçonnage. Un message texte provenant supposément du service de sécurité de Desjardins alerte un usager d’une (fausse) tentative de fraude sur son compte et lui intime de cliquer rapidement sur un lien pour se diriger sur AccèsD. Le lien mène à un faux portail, presque identique au vrai. En y entrant son nom d’usager et son mot de passe, la victime donne elle-même les clés du coffre-fort aux voleurs. Un Montréalais l’a d’ailleurs appris à la dure, perdant 450 000 $ en dix minutes, rapporte au Journal Claude Sarrazin, président de la firme de sécurité Sirco.

DES CIBLES DE CHOIX

Les institutions financières représentent, bien entendu, des cibles privilégiées pour les pirates informatiques, dont la vaste majorité s’adonne à ces pratiques pour dérober de l’argent. En novembre 2016, la Tesco Bank, en Grande-Bretagne, a dû rembourser 2,5 millions de livres (4,1 M $CAN) retirés des comptes de 9 000 de ses clients au cours d’une telle fraude. Toujours chez les Britanniques, une attaque informatique a tenté de rendre inopérants les sites de quelques grandes banques il y a quelques semaines, réussissant à empêcher les clients de la Lloyds et de ses branches Halifax et Bank of Scotland d’accéder à leurs comptes. La cyberattaque a duré deux jours.

Plus près de nous, la Banque du Canada (BdC) fait continuellement face à de telles offensives, rapportait jeudi le Financial Post. En mars 2016 seulement, elle a reçu 15 millions de courriels indésirables, la plupart porteurs de logiciels malveillants ou autres tentatives de piratage.

UN SIMPLE DOCUMENT WORD

En novembre 2015, l’une de ces attaques a été particulièrement remarquée. Les employés de l’institution avaient alors été bombardés de 25 000 courriels semblables, rédigés en français et anglais, leur demandant de réviser un document Word ajouté en pièce-jointe. Ce fichier était porteur d’un code visant à installer un logiciel malveillant répondant au doux nom de… putinanalking.exe. Son objectif? Voler les identifiants de connexion.

Au moins 33 de ces courriels ont échappé au filtrage des systèmes de cybersécurité de la banque et ont été ouverts par des employés, mais un deuxième niveau de sécurité a empêché le logiciel de remplir sa mission. Fait à noter : cinq des employés ont ouvert le document après que la banque ait prévenu de ne pas le faire. Depuis 2012, la BdC a fait l’objet de 27 incidents assez sérieux pour faire l’objet d’une enquête. Dans 17 cas, un programme malveillant a été installé sur un ordinateur de la banque, mais sans qu’il ne puisse accéder à des données bancaires ou prendre le contrôle d’ordinateurs, selon la BdC.

Cette dernière est une cible de choix en raison des informations privilégiées qu’elle recèle, étant donné son rôle central dans l’établissement des taux d’intérêt et des politiques monétaires du pays. Quand on constate avec quelle avidité les investisseurs et analystes du monde entier attendent les décisions des banques centrales sur ces questions, on comprend la valeur que peuvent avoir des informations à leur sujet.

NI VU, NI CONNU

Les menaces contre les institutions financières visent soit à dérober de l’argent, soit à subtiliser des informations, selon Robert Masse, associé chez Deloitte et expert en cybersécurité. S’il est facile de constater rapidement un vol d’argent, il l’est beaucoup moins d’identifier le vol d’informations. « Si l’attaque se fait pour espionner, en général, vous ne vous en rendrez jamais compte », soutient-il.

Les employés sont une cible de choix des pirates et leurs mauvaises réactions ou leur inattention en font souvent le maillon faible du système de cybersécurité. Quand ils ne se font pas tromper par un faux courriel bien réussi, ils téléchargent des logiciels malveillants en surfant le web ou via des publicités envoyées par courriel.

Michael Calce, aka Mafiaboy, lui-même un ancien pirate reconverti en président de la compagnie de cybersécurité Optimal Secure, croit que ces employés devraient subir des conséquences s’ils ne s’améliorent pas après avoir été avertis et formés. « Ils ne placent pas seulement leur compagnie à risque, mais tous les clients de cette compagnie », dit-il.

La rédaction vous recommande :

• Cyberattaques : la majorité des grandes entreprises à risque
• Les inspections de l’OCRCVM cibleront davantage les aînés
• Do you speak jargon financier?