Publié

La vulnérabilité informatique des banques inquiète

Les failles informatiques inquiètent toujours plus les banques.
Les failles informatiques inquiètent toujours plus les banques.
Les banques sont très vulnérables au niveau de la sécurité informatique. Au moment où des listes de données bancaires volées circulent, cette évolution inquiète, d'autant plus que des hackers en profitent pour alimenter un lucratif marché noir, selon une enquête de la TSR.

"La sécurité informatique à 100% n'existe pas. Les informations
sont toujours stockées quelque part et les seules données qui sont
sûres à 100% sont celles qui n'existent pas". Ces propos peu
rassurants sont ceux de Marc Henauer, chef de MELANI, la Centrale
d'enregistrement et d'analyse pour la sûreté de l'information, qui
appartient aux services de renseignements de la
Confédération.



Et celui qui traque les failles dans les systèmes informatiques
ajoute que plus on offrira de l'argent pour des données dérobées
aux banques, plus des informations seront volées. L'intérêt de
plusieurs services fiscaux étrangers pourrait donc décupler les
fuites informatiques dans les banques.



On ne sait pas encore quelles données bancaires sont tombées dans
les mains du fisc allemand et du fisc français, mais on sait que
ces listes se monnaient cher. Berlin pourrait ainsi débourser 2,5
millions d'euros pour connaître les citoyens qui tentent de cacher
leur argent en Suisse.

Marché noir de données volées

Et des sommes aussi coquettes font des
émules dans la communauté des pirates informatiques. Pour Ilia
Kolochenko, président de la société High Tech Bridge, qui s'occupe
de démontrer les manques au niveau des systèmes informatiques, les
failles sont nombreuses dans le secteur bancaire, même dans les
plus grands établissements, et elles "alimentent même un marché
noir de données financières volées".



Celui qui se définit comme un hacker éthique, c'est-à-dire qu'il
pirate légalement les systèmes informatiques des banques pour
améliorer leur protection, assure qu'il existe maintenant des sites
ultraconfidentiels sur lesquels on trouve presque tout: les noms
des clients, les fichiers avec les numéros de compte, les e-mails,
les courriers. "On peut trouver presque n'importe quelle
information."



Selon Ilia Kolochenko, ces informations sensibles s'échangent
entre 300'000 francs et un million suivant les établissements
concernés. Et ces sites sont notamment fréquentés par les
Etats.

Quelles solutions?

Mais que faire pour améliorer les dispositifs de sécurité?
Aucune banque n'a souhaité s'exprimer à ce sujet, tout en assurant
qu'elles "prennent des mesures". "Normalement, on doit avoir un
système de contrôle strict, mais je peux vous assurer que cela
n'existe presque jamais", estime Ilia Kolochenko.



Pour Stéphane Adamiste, directeur de Ilion Security, le problème
peut venir des droits d'accès. Normalement, les entreprises
accordent au personnel uniquement les droits d'accès qui sont
strictement nécessaire à l'exécution de leurs tâches quotidiennes.
Mais "c'est appliqué avec plus ou moins de largesse selon les
établissements", constate-t-il.



Pour Ilia Kolochenko, une réduction des vols de données passe
idéalement par une surveillance accrue des employés et une
limitation de leur accès aux données. Mais ces mesures
entraveraient le bon fonctionnement des banques. Marc Henauer
estime aussi que la sécurité coûte toujours plus d'argent,
directement et indirectement, car renforcer la sécurité complique
souvent le travail des employés, réduit leur efficacité et ralentit
la productivité.



Alors, le combat est-il perdu d'avance? Une solution simple
existe, affirme ironiquement Ilia Kolochenko, le papier: "C'est la
seule base de données inviolable..."



Frédéric Boillat/Anne-Frédérique Widmann

Publié

Une attaque massive dans 200 pays révélée

Mercredi, une société de sécurité informatique a révélé qu'une attaque informatique à grande échelle avait permis de prendre le contrôle de 74'000 ordinateurs dans 196 pays, en particulier les Etats-Unis, le Mexique, l'Arabie Saoudite, l'Egypte et la Turquie.

La société NetWitness a identifié 2411 organisations visées par ces attaques depuis un an, dont 374 aux Etats-Unis, y compris des administrations fédérales et locales, de grandes entreprises des secteurs bancaire, technologique ou énergétique, ou encore des établissements d'éducation.

Les réseaux sociaux sont souvent utilisés comme vecteurs, avec notamment de fausses invitations à télécharger des programmes de sécurité, tandis que ce sont des failles dans les systèmes d'exploitation XP et Vista qui sont exploitées par les malfaiteurs.

La société souligne que le ministère américain de la Défense semble avoir été particulièrement visé, mais que les pirates ont également pu accéder à des transactions bancaires et à des données de propriété intellectuelle.

"Que vous soyez l'une des 500 plus grosses sociétés répertoriées par (le magazine) Fortune, un organisme gouvernemental ou un internaute utilisant une liaison DSL à la maison, vous pouvez être
victime", juge un expert interrogé.