« Ni armes, ni violence et sans haine« , avait écrit Albert Spaggiari. Et il n’aurait probablement pas désavoué le dernier méga-casse en date, réalisé en un temps record sans armes autres que cyber. Onze millions de dollars auraient ainsi été dérobés en deux campagnes de retraits d’argent frauduleux à la fin de l’année 2012. La première aurait eu lieu la veille de Noël et aurait rapporté 9 millions de dollars aux attaquants, tandis que la suivante se serait déroulée la veille du Nouvel An et aurait permis de dérober 2 millions supplémentaires.

L’affaire est rapportée aujourd’hui par Brian Krebs, qui cite des sources proches des banques et des autorités. Les pirates auraient utilisé un petit nombre de cartes de débit prépayées pour effectuer des retraits simultanés à de milliers de distributeurs de billets à travers le monde. Chaque opération aurait duré le temps d’un week-end.

Selon une alerte émise par Visa auprès des banques et établissements financiers, les pirates à l’origine de ces attaques seraient parvenus à modifier les plafonds de retrait des cartes utilisées. Ils auraient pour cela compromis au préalable les systèmes d’un établissement émetteur de cartes afin de manipuler les paramètres des moyens de paiement utilisés. Selon Visa une même carte a ainsi permis de retirer cinq cent mille dollars en moins de 24h, alors qu’elles sont habituellement limitées à quelques centaines de dollars au mieux.

La première analyse des méthodes utilisées par les attaquants se lit malheureusement comme le récit d’une intrusion ordinaire. D’après Visa les pirates auraient compromis un serveur web via une vulnérabilité classique (potentiellement de type injection SQL), puis auraient maintenu leur accès grâce à une porte dérobée et auraient enfin étendu leur emprise en sniffant des identifiants et en cartographiant le réseau interne jusqu’à pouvoir accéder aux systèmes métiers qui contrôlent les paramètres des cartes.

Nos lecteurs vont probablement être perplexes : après tout, les notions élémentaires de DMZ, d’isolation des réseaux ou de scan de vulnérabilité sur les interfaces exposées à Internet sont monnaie courante, non ? Et a fortiori chez un prestataire de paiement ? Certes, mais bien que l’alerte de Visa ne donne aucune indication quant à l’établissement victime de cette fraude, il ne s’agit probablement pas d’une banque majeure mais plutôt d’un petit émetteur de cartes pré-payées comme il en existe des milliers. Le maillon faible de la chaîne, en quelque sorte.

Brian Krebs rappelle ainsi qu’en 2011 l’américain Fidelity National Information Services, pourtant pas un petit acteur du monde du paiement, avait été lui aussi victime d’une fraude aux retraits qui lui avait coûté 13 millions de dollars. Les attaquants avaient frappé chez une filiale, WildCard Systems, beaucoup plus petite et moins protégée que la maison mère.

L’autre enseignement que l’on peut tirer de cette attaque concerne la capacité d’organisation des criminels. Etre en mesure de retirer de l’argent quasi-simultanément à des milliers de DAB a travers le monde exige non seulement une bonne organisation (faire parvenir les bonnes cartes aux bonnes personnes et au bon moment) et certaines notions de sécurité opérationnelle (plus le plan implique du monde, plus le risque d’une fuite est élevé), mais aussi de pouvoir avancer des fonds (frais de déplacement, par exemple). Cela en dit long sur les capacités des groupes impliqués. D’autant plus qu’une fois les systèmes bancaires détournés, il est probablement nécessaire d’être familiarisé avec ces derniers afin de modifier les bons paramètres sur les cartes concernées. On imagine des complicités internes, qu’il faut alors également rémunérer (toutefois si les attaquants sont, comme le prétend Visa, venus de l’extérieur, la complicité interne peut se limiter à fournir au préalable la documentation nécessaire à opérer les systèmes une fois ceux-ci compromis)

Enfin, il convient de noter l’approche stratégique des attaquants, en dehors des aspects purement techniques : ils ont frappé les veilles de Noël et du Premier de l’An, afin de maximiser les chances de ne pas être repéré par les équipes d’astreintes.

Travaillez-vous dans l’industrie de la banque et des paiements ? Venez nous donner votre avis sur cette fraude ! Selon vous, comment les attaquants ont-ils pu pénétrer aussi facilement dans le saint des saints en venant d’Internet ? Cela vous semble-t-il crédible ?