La vulnérabilité informatique des banques inquiète

"La sécurité informatique à 100% n'existe pas. Les informations
sont toujours stockées quelque part et les seules données qui sont
sûres à 100% sont celles qui n'existent pas". Ces propos peu
rassurants sont ceux de Marc Henauer, chef de MELANI, la Centrale
d'enregistrement et d'analyse pour la sûreté de l'information, qui
appartient aux services de renseignements de la
Confédération.



Et celui qui traque les failles dans les systèmes informatiques
ajoute que plus on offrira de l'argent pour des données dérobées
aux banques, plus des informations seront volées. L'intérêt de
plusieurs services fiscaux étrangers pourrait donc décupler les
fuites informatiques dans les banques.



On ne sait pas encore quelles données bancaires sont tombées dans
les mains du fisc allemand et du fisc français, mais on sait que
ces listes se monnaient cher. Berlin pourrait ainsi débourser 2,5
millions d'euros pour connaître les citoyens qui tentent de cacher
leur argent en Suisse.

Marché noir de données volées

Et des sommes aussi coquettes font des
émules dans la communauté des pirates informatiques. Pour Ilia
Kolochenko, président de la société High Tech Bridge, qui s'occupe
de démontrer les manques au niveau des systèmes informatiques, les
failles sont nombreuses dans le secteur bancaire, même dans les
plus grands établissements, et elles "alimentent même un marché
noir de données financières volées".



Celui qui se définit comme un hacker éthique, c'est-à-dire qu'il
pirate légalement les systèmes informatiques des banques pour
améliorer leur protection, assure qu'il existe maintenant des sites
ultraconfidentiels sur lesquels on trouve presque tout: les noms
des clients, les fichiers avec les numéros de compte, les e-mails,
les courriers. "On peut trouver presque n'importe quelle
information."



Selon Ilia Kolochenko, ces informations sensibles s'échangent
entre 300'000 francs et un million suivant les établissements
concernés. Et ces sites sont notamment fréquentés par les
Etats.

Quelles solutions?

Mais que faire pour améliorer les dispositifs de sécurité?
Aucune banque n'a souhaité s'exprimer à ce sujet, tout en assurant
qu'elles "prennent des mesures". "Normalement, on doit avoir un
système de contrôle strict, mais je peux vous assurer que cela
n'existe presque jamais", estime Ilia Kolochenko.



Pour Stéphane Adamiste, directeur de Ilion Security, le problème
peut venir des droits d'accès. Normalement, les entreprises
accordent au personnel uniquement les droits d'accès qui sont
strictement nécessaire à l'exécution de leurs tâches quotidiennes.
Mais "c'est appliqué avec plus ou moins de largesse selon les
établissements", constate-t-il.



Pour Ilia Kolochenko, une réduction des vols de données passe
idéalement par une surveillance accrue des employés et une
limitation de leur accès aux données. Mais ces mesures
entraveraient le bon fonctionnement des banques. Marc Henauer
estime aussi que la sécurité coûte toujours plus d'argent,
directement et indirectement, car renforcer la sécurité complique
souvent le travail des employés, réduit leur efficacité et ralentit
la productivité.



Alors, le combat est-il perdu d'avance? Une solution simple
existe, affirme ironiquement Ilia Kolochenko, le papier: "C'est la
seule base de données inviolable..."



Frédéric Boillat/Anne-Frédérique Widmann