Le 22/12/09, le Wall Street Journal (WSJ) a reporté une enquête du FBI sur le vol supposé de plusieurs dizaines de millions de dollars à la Citibank, vol effectué en ligne par des pirates du Russian Business Network (RBN) en utilisant un outil adapté appelé BlackEnergy. L’article cite notamment un client qui aurait perdu à lui seul un million de dollar.

La Citibank, de son côté dément cette enquête ainsi que l’attaque massive supposée, signalant que la personne ayant perdu $1M est un cas isolé et que cette personne a depuis été dédommagée. Ce communiqué a été relayé, entre autres, par le Tech Herald.

Qui a raison, qui a tort et que s’est-il vraiment passé?

 Les faits d’abord.

• RBN est un fournisseur d’accès internet Russe connu pour servir d’hébergeur pour des opérations clandestines (un darknet donc) spécialisé dans, entre autres, le vol de données identitaires (coordonnées, numéros de carte bancaires, numéros de comptes, etc)
• BlackEnergy est effectivement un outil hébergé par le RBN et a été utilisé contre les services de la Citibank. Cependant, c’est un outil qui permet de faire des attaques par déni de service distribués (type DoS)
• La Citibank a déjà été ciblée par une attaque de pirates qui visait cette fois les distributeurs automatiques de billets. Déjà à l’époque, la Citibank avait démenti être victime de telles attaque tout en signalant au FBI qu’une de leur machine aurait pu être exploitée.
• Le nouveau Tzar de la sécurité informatique, Howard A. Schmidt, a été nommé le 21/12/2009
• Le WSJ appartient à News Corporation et son propriétaire, M. Murdoch, est connu pour sa crainte d’internet et notamment de Google.
• Robert Blanchard a bel et bien perdu $1M suite à une fraude on-line. Il a depuis été remboursé par la Citibank qui a probablement annulé la transaction. Il n’y a effectivement eu aucune perte pour le client ou les banques impliquées dans le transfert.

Le WSJ n’a pas pour habitude de faire du sensationnel cependant l’article reste flou quand au fait. Il est probable que le WSJ ait voulu faire écho de la nomination du nouveau responsable de la sécurité informatique de la maison blanche. La Citibank a probablement été la cible de plusieurs attaques (au moins un DoS via BlackEnergy, et le cas Robert Blanchard) et que le WSJ ait agrégez toutes ces nouvelles en une seule afin d’appuyer les idées de M. Murdoch (Internet est un danger).

Il n’en reste pas moins que la Citibank a été victimes d’attaques diverses. La plupart d’entres elles n’ont pas d’importance vu que la banque n’implique pas ses clients. EN cas de fraude signalée, elle prévient la banque destinatrice des fonds d’annuler la transaction et rembourse le client. Les fonds n’ont pas bougés du compte.

Cependant, le fait qu’il n’y ait pas de perte ne signifie pas qu’il n’y a pas une faille. Le système bancaire actuel, aussi bien aux États Unis qu’en Europe, fait preuve de nombreuses failles similaire. A l’heure où les attaquants peuvent passer outre les authentification à deux niveaux, en interceptant les messages de confirmation et en récupérant les données des clients, les systèmes bancaires en-ligne sont la cible constantes des attaquants (qu’ils soient Russes, Chinois, Brésiliens, Coréens, Américains ou autres).

 Que le WSJ ait péché par manque de compréhension, soit. Que la banque considère que la fraude en-ligne et l’usurpation d’identité ne soit pas une faille de sécurité me pose bien plus de problème quand à la sécurité de l’ensemble.