1

EXERCICE 1 : CYBERATTAQUE A LA Bangladesh Bank.

SWIFT en quelques mots

Créé en 1973, SWIFT pour Society for Worldwide Interbank Financial

Telecommunication, est un réseau bancaire permettant la gestion de

transactions financières entre plusieurs banques et ce, à l’échelle

internationale.

C’est également le nom de l’entité qui est en charge de son

fonctionnement ; cette organisation coopérative, basée à Bruxelles, est

aujourd’hui détenue et contrôlée par plus de 3 000 représentants des

plus importantes banques mondiales.

Le réseau SWIFT traite chaque jour plus de trente millions de

transactions pour assurer les besoins de ses 11 000 utilisateurs.

Longtemps considéré comme le réseau de transaction financière le plus

fiable au monde, SWIFT permet avant tout d’assurer la non-répudiation

des échanges. Autrement dit, aucun tiers n’est censé pouvoir renier

une transaction. Dans la pratique, nous verrons que cela dépend d’un

certain nombre de prérequis sous la responsabilité des utilisateurs.

Retour sur la première affaire de la Bangladesh Bank

C’est au cours du mois de mars 2016 que l’on apprend par les

médias que 81 millions de dollars provenant de la Bangladesh Bank ont

disparu de la circulation.

Année de Licence . Semestre Harmattan DEFITECH LOME

Ce cours s’inscrit dans un cadre académique. Le formateur n'est aucunement responsable de délits ou dommages directs ou indirects causés par une utilisation illégale ou
contraire à l'éthique contre toute personne morale ou physique.
 2

Figure 1 : logo de la Bangladesh Bank

Retour sur le cheminement de cette fraude majeure :

■ Le 15 mai 2015, quatre comptes bancaires sont ouverts au sein de

la Rizal Commercial Banking Corporation (RCBC), située aux

Philippines. Par la suite, on découvrira qu’ils ont été créés sous de

fausses identités et deviendront la destination finale de l’argent avant de

disparaître dans la nature.

■ Les 4 et 5 février 2016, soit neuf mois plus tard, 35 transactions

SWIFT (représentant 951 M$) sont exécutées à la demande de la

Bangladesh Bank à destination de la RCBC. Au final :

➤ 30 de ces transactions sont bloquées par « manque de

précisions », représentant tout de même 850 M$ soit 90% de la

requête initiale.

➤ Sur les 101 M$ restants, 20 sont également rejetés suite à une

faute de frappe sur le nom du destinataire.

➤ 81 M$ finissent tout de même par arriver sur les quatre comptes

frauduleux de la RCBC.

Année de Licence . Semestre Harmattan DEFITECH LOME

Ce cours s’inscrit dans un cadre académique. Le formateur n'est aucunement responsable de délits ou dommages directs ou indirects causés par une utilisation illégale ou
contraire à l'éthique contre toute personne morale ou physique.
 3

■ Le 9 février, des retraits massifs sont réalisés sur ces comptes et

l’ensemble des 81 M$ se perdent dans les caisses de plusieurs

casinos philippins.

Pourquoi donc des casinos philippins ? Dans une optique « d’aider le

développement des jeux d’argent » dans le pays, le Gouvernement
Philippin n’oblige pas les casinos à dénoncer les transactions jugées
suspicieuses. Ils deviennent donc une cible parfaite pour de telles
fraudes. Les derniers évènements ont entraîné d’importants débats aux
Philippines et la situation pourrait évoluer rapidement.

De ce que l’on sait aujourd’hui, ces retraits massifs ont été acceptés

malgré l’avis d’alerte reçu par la RCBC. La raison reste inconnue à ce

jour. C’est bien là le point central des procédures en cours, qui

s’annoncent longues, complexes et lourdes de conséquences.

■ Le 15 février, c’est officiel, les 81 M$ perdus sont à l’origine d’une

fraude bancaire majeure. Le Président de la Bangladesh Bank

démissionne. Les médias s’emparent de l’affaire.

Année de Licence . Semestre Harmattan DEFITECH LOME

Ce cours s’inscrit dans un cadre académique. Le formateur n'est aucunement responsable de délits ou dommages directs ou indirects causés par une utilisation illégale ou
contraire à l'éthique contre toute personne morale ou physique.
 4

Figure 2 : synthèse du cheminement de la fraude SWIFT Bangladesh

Bank

Que s’est-il passé ?

La piste d’une attaque cybercriminelle a été très vite étudiée. C’est

plusieurs semaines après, au cours du mois d’avril, que les premières

révélations des investigateurs sont tombées.

C’est effectivement une cyberattaque et ce n’est pas par l’originalité de

son mode opératoire qu’elle est étonnante. En effet, quatre étapes

classiques auraient été suivies :

1.Intrusion dans le SI de la banque.

2.Vol d’identifiants d’opérateurs SWIFT permettant la création, l’approbation

et l’exécution de transactions bancaires.

3.Lancement des 35 ordres frauduleux.

Année de Licence . Semestre Harmattan DEFITECH LOME

Ce cours s’inscrit dans un cadre académique. Le formateur n'est aucunement responsable de délits ou dommages directs ou indirects causés par une utilisation illégale ou
contraire à l'éthique contre toute personne morale ou physique.
 5

4. Suppressions immédiates des traces générées par les attaquants.

Les trois premières étapes sont à date encore assez floues. Pour

autant, certains experts parlent d’une intrusion physique et plus

particulièrement liée à une clef USB branchée sur un poste opérateur.

Jillian STICKELS, porte-parole du FBI, est allé un cran plus loin en

déclarant qu’à ce stade, une complicité interne était suspectée.

Par ailleurs, FireEye aurait découvert non seulement que les attaquants

étaient encore présents au moment de leurs investigations mais surtout

que trois autres acteurs, a priori étatiques, seraient eux aussi en place

dans le SI. Reuters, une agence de presse londonienne très investie

dans l’affaire, a déclaré de source confidentielle que deux de ces trois

acteurs pourraient être le Pakistan et la Corée du Nord. Ils

expliqueraient notamment ces intrusions simultanées par un niveau de

sécurité très faible du système d’information (absence de pare-feu,

switchs très obsolètes, etc.).

1. Question : compléter le tableau ci-dessous

Année de Licence . Semestre Harmattan DEFITECH LOME

Ce cours s’inscrit dans un cadre académique. Le formateur n'est aucunement responsable de délits ou dommages directs ou indirects causés par une utilisation illégale ou
contraire à l'éthique contre toute personne morale ou physique.
 6

Description sommaire de Auteur Victime Vulnérabilités Mode opératoire Impact

l’attaque

2. Vérifier l’aboutissement des enquêtes sur l’attaque

Année de Licence . Semestre Harmattan DEFITECH LOME

Ce cours s’inscrit dans un cadre académique. Le formateur n'est aucunement responsable de délits ou dommages directs ou indirects causés par une utilisation illégale ou contraire à l'éthique contre toute personne morale ou physique.