Les dernières heures de 2019 ont viré au cauchemar pour Travelex. La veille de la Saint-Sylvestre, le géant britannique des services de change a été victime d'une cyberattaque d'une ampleur inédite. Le réseau informatique interne de la société a été piraté par un ransomware, ou rançongiciel en français. Ce type de virus permet de chiffrer les données d'un ordinateur pour les rendre incompréhensibles et inutilisables par leur propriétaire, les pirates exigeant alors le versement d'une rançon pour débloquer le système informatique. Plus de trois semaines après le début de l'attaque, la société de change n'a toujours pas repris une activité normale et indique, sur son site, travailler actuellement « à la restauration de [ses] systèmes ».
Dans les premiers jours, la paralysie a été totale. Pour éviter que le virus ne se propage, Travelex a rapidement mis hors ligne l'ensemble de ses services sur Internet et a prié tous ses employés de rendre leur ordinateur afin de limiter la contamination. Seules ses activités dans les bureaux de change ont pu être maintenues, les salariés s'armant de bons vieux stylos et de feuilles de papier pour tracer les flux. Mais les clients de la société n'ont pas été les seuls à se trouver incommodés par ce piratage. De nombreuses banques utilisatrices de Travelex, comme Barclays, HSBC ou Royal Bank of Scotland, n'ont pas été en mesure de fournir des devises à leurs propres clients pendant plusieurs jours.
Travelex, qui s'est entourée d'experts mondiaux de la cybersécurité, assure aujourd'hui qu'aucune preuve ne montre que les données personnelles de ses clients ont été compromises, alors même que les pirates - dont l'identité est inconnue - menacent de publier les données relatives à leurs cartes bancaires si une rançon de 6 millions de dollars n'est pas versée.
Des millions de clients concernés dans le monde
La mésaventure de Travelex est loin d'être un cas isolé. L'été dernier, Capital One, le troisième plus gros émetteur de cartes de crédit aux États-Unis, a été victime d'un piratage informatique massif concernant les données personnelles de plus de 100 millions de clients ou prospects américains. Un peu moins d'un tiers de la population des États-Unis (327 millions de personnes) était donc concernée par ce piratage hors norme. Quelques jours auparavant, les données de 4,2 millions de clients de la banque canadienne Desjardins ont été volées. Début 2019, Bank of Valletta, la plus grande banque maltaise, a également été la cible des pirates informatiques qui ont tenté de s'emparer de 13 millions d'euros.
En 2017, les données bancaires de 400.000 clients de l'italien UniCredit avaient été piratées. Un an auparavant, une attaque avait touché les comptes de 40.000 clients de Tesco Bank, filiale de la chaîne de supermarchés britanniques. Parmi eux, 20.000 auraient subi des retraits frauduleux. Force est de constater que les établissements financiers sont la cible de cyberattaques de plus en plus récurrentes et sophistiquées.
"Aujourd'hui, 50 % des attaques connues sont d'origine étatique et, parmi elles, 20 % concernent le secteur bancaire », indique Thierry Olivier, directeur de la sécurité des systèmes d'information du groupe Société Générale.
« Dès lors que vous avez une activité BtoC, c'est-à-dire qui vise des particuliers, vous êtes plus exposé aux cyberattaques, car les données personnelles ont une valeur et peuvent être revendues », explique de son côté Guillaume Vassault-Houlière, directeur général de YesWeHack, une start-up qui propose aux entreprises de détecter leurs failles de sécurité informatique grâce à des campagnes dites de bug bounty, qui mobilisent une communauté de hackers éthiques rémunérés à la prime. Outre l'attrait pour les données personnelles, les attaquants sont, bien sûr, motivés par les gains financiers directs, et parfois par des convictions écologiques.
La numérisation croissante des services financiers, accélérée par l'arrivée de nouveaux acteurs sur le marché, augmente également la surface d'exposition des banques aux attaques. « Aujourd'hui, au moins 30 % de notre chiffre d'affaires est réalisé auprès d'entreprises du secteur de la finance. Nous travaillons à la fois avec de grandes banques européennes et asiatiques et des fintech », précise Guillaume Vassault-Houlière. Au cours de ses différentes campagnes, la jeune pousse a pu identifier des failles significatives sur les systèmes de paiement ou les applications mobiles. Preuve de la gravité de la situation, la Banque centrale européenne a placé le risque cyber parmi les trois facteurs de risque les plus élevés pour les banques de la zone euro en 2020.
« C'est un risque qui existe depuis longtemps, mais c'est la première fois que le superviseur européen le place dans le top 3 », souligne Thierry Olivier.
Plusieurs types d'attaque sont actuellement « à la mode ». Il y a d'abord des attaques très ciblées, développées par des groupuscules de hackers, qui n'hésitent pas à s'immiscer de longs mois dans les systèmes d'information des établissements avant de déployer un piratage d'envergure. Les hackers tendent aussi à s'attaquer aux différents partenaires de l'entreprise ciblée, souvent plus vulnérables. On assiste également au développement de logiciels malveillants visant les smartphones - un mode opératoire qui, selon Thierry Olivier, devrait monter en puissance en 2020. Concrètement, les attaquants envoient à des utilisateurs un message contenant un lien infecté. Lorsque le propriétaire du smartphone clique sur le lien de ce message non sollicité, cela déclenche le téléchargement d'un malware qui va prendre la main sur l'application bancaire. « Au cours du seul quatrième trimestre 2019, nous avons détecté plus de 1.600 souches de ces malwares visant les applications bancaires », s'alarme Thierry Olivier.
Le « jackpotting », ou cyberbraquage de DAB
Dans une moindre mesure, les banques ont aussi été victimes ces derniers mois d'une vague de « jackpotting », ces attaques, impressionnantes car visibles, visant les distributeurs automatiques de billets (DAB). Les attaquants achètent d'abord un DAB, par exemple sur Alibaba, pour comprendre son fonctionnement et la manière dont il peut être piraté. Ils connectent ensuite leur PC à l'ordinateur du distributeur et le détournent de ses fonctions initiales.
« Dans ce cas, il s'agit plutôt d'un préjudice d'image pour la banque, car les pertes financières ne représentent que quelques dizaines de milliers d'euros », commente Thierry Olivier.
Pour contrer ces attaques protéiformes, la priorité doit être donnée au bon respect des règles d'hygiène informatique, estime le « Monsieur Cybersécurité » de Société Générale. Parmi elles, la mise à jour des antivirus, le fait de chiffrer les données sensibles, d'effectuer des sauvegardes régulièrement ou encore de gérer plus finement les droits d'accès des utilisateurs. La banque utilise en parallèle de nouveaux outils, qui pourraient remplacer à l'avenir les antivirus, permettant de détecter des activités anormales d'un poste de travail, comme l'exfiltration de données au moment de l'ouverture d'un fichier Word. La banque de la Défense prévoit par ailleurs de renforcer ses exigences à l'égard de ses fournisseurs et de mettre l'accent sur la gestion de crise, car, si une attaque majeure n'a pas encore ébranlé de grandes banques françaises, « la probabilité que cela arrive n'est pas nulle », admet Thierry Olivier.
L'ensemble de ces efforts gonfle mécaniquement les investissements dédiés à la cybersécurité. Société Générale, qui y consacre déjà plusieurs centaines de millions d'euros par an, a ainsi multiplié par trois ses effectifs en trois ans. « Nous comptons aujourd'hui plus de 700 personnes dans le monde dédiées à la cybersécurité », précise Thierry Olivier.
Un risque systémique
La prolifération des attaques informatiques et leur sophistication concernent bien sûr tous les pans de l'économie, mais l'industrie financière présente une particularité : son interconnexion. « Nous devons traiter les cyberattaques comme un risque systémique », car le secteur financier « est connecté à tous les secteurs de l'économie », avait mis en garde le ministre de l'Économie et des Finances, Bruno Le Maire, lors d'une conférence sur la cybersécurité organisée en mai 2019, dans le cadre du G7 Finances.
« Se protéger soi-même, ce n'est pas suffisant, il faut avoir une approche globale au niveau du système », avait abondé Guillaume Poupard, le patron de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), invité à cette même conférence.
Depuis quelques mois, les banques participent donc à des groupes de travail organisés par l'Autorité de contrôle prudentiel et de résolution (ACPR), adossée à la Banque de France. « Nous échangeons de plus en plus nos bonnes pratiques et nos retours d'expérience », témoigne Thierry Olivier. Outre-Atlantique, cette coopération va un cran plus loin, puisque huit grandes banques américaines se sont associées avec pour objectif de mettre sur pied une unité de défense unique, de sorte que, si un établissement attaqué ne peut plus proposer ses services, ses clients puissent réaliser leurs transactions auprès d'une autre banque. Après des mois d'échanges, le dispositif n'a toutefois pas encore vu le jour. Au printemps dernier, la Banque de France a, pour sa part, piloté la première simulation d'attaque informatique transfrontalière.
Nucléaire : après 12 ans de retard, EDF va enfin mettre en service l’EPR de Flamanville
Sujets les + commentés