L'expérience est aussi facile qu'instructive. Il suffit d'installer un petit logiciel de détection d'intrusion sur son ordinateur personnel. D'attendre quelques minutes – une dizaine, pas plus – et d'observer. Soudain, une alerte: un pirate canadien scanne les ports du PC. Quelques instants plus tard, un Coréen tente à son tour de rentrer dans le système. En une demi-heure, ils seront ainsi une dizaine à tenter d'investir l'ordinateur. Véritable jungle, Internet est aujourd'hui balayé aléatoirement 24h/24h par ces pirates. Menaces le plus souvent anodines pour les particuliers, ces opérations sont la bête noire des responsables de sécurité des banques, contre lesquelles elles sont minutieusement ciblées. «Notre budget sécurité s'adapte continuellement en fonction des risques croissants», affirme Alain Hiltgen, responsable des méthodes de sécurité informatique chez UBS. «Nous savons que certaines banques commencent à créer des provisions pour faire face à une attaque de grande ampleur», affirme Marco Ricca, de la société de sécurité informatique Ilion, à Genève.

Pour préserver leur image, assurer la confidentialité des données de leurs clients, éviter de voir s'évaporer des sommes d'argent importantes, les banques, actives tant dans le retail que le private banking, tentent de trouver la parade. Car face à elles, les menaces informatiques se multiplient et se perfectionnent.

Les attaques ciblées

La hantise des banques: un groupe de pirates professionnels, financé par un mandataire, qui tente de pénétrer le système informatique interne de l'établissement. «Il suffit de 30 000 à 100 000 francs pour mener une telle attaque, poursuit Marco Ricca. Lorsqu'un client – à 90% des banques – nous commande un test de «ethical hacking» pour la première fois, nous parvenons dans 98% des cas à entrer dans leur système. Et donc à effectuer n'importe quelle opération, comme si l'on se trouvait dans l'établissement». Pour les pirates, une longue phase de préparation précède l'attaque, durant laquelle ils se renseigneront par exemple en détail sur la vie de plusieurs employés. «Ensuite, l'un d'eux recevra par exemple un e-mail provenant d'une fausse assurance lui indiquant qu'il va toucher une police d'un parent récemment décédé, détaille Marco Ricca. Mais le fichier joint contient un petit logiciel qui, à l'insu de l'employé de banque, va ouvrir la porte du système aux pirates.»

Autre type de menace similaire, la recherche de ports non sécurisés. Il existe des logiciels très perfectionnés capables de «renifler» le système de la société visée. «Nous détectons en moyenne deux à trois attaques ciblées par mois, lors desquelles les pirates effectuent des recherches systématiques sur une longue durée, explique Christian Roch, responsable de la sécurité de l'information chez Pictet. Elles ont toutes été déjouées.» Qui en sont les auteurs? «Nous savons qu'il s'agit, dans un grand nombre de cas, d'opérations commanditées par la mafia russe», affirme le responsable sécurité d'une autre banque privée basée à Genève.

Ces menaces sont à prendre au sérieux, affirme Alain Hiltgen de UBS, mais il faut les relativiser. «Pour qu'il y ait une vraie attaque, il faut qu'il y ait un intérêt suffisant pour vouloir risquer d'y exposer son identité. Dès lors, il semble peu probable qu'en situation réelle, il y ait beaucoup d'attaques qui vaillent vraiment ce risque.» Aucun des établissements bancaires contactés n'a reconnu avoir subi une attaque. «Certaines sont couronnées de succès, affirme Marco Ricca. Il y a quelques années, des médias ont révélé que des hackers turcs avaient réussi à dérober 10 millions de dollars à Citibank en Turquie sans jamais avoir été inquiétés.»

La «bombe logique» et les employés indélicats

Les banques craignent aussi les attaques menées depuis l'interne. En effet, 70% des dommages causés sont dûs à des collaborateurs insatisfaits qui effacent des données, les transmettent à l'extérieur ou effectuent des opérations illicites avec des fonds. «Pour prévenir ces agissements, la meilleure solution est d'appliquer la clause du besoin, explique Christian Roch. Un employé doit avoir uniquement accès aux données qui lui sont immédiatement indispensables dans le cadre de son activité, et à rien d'autre.» Certaines attaques sont très difficiles à désamorcer, telles les «bombes logiques», ces logiciels insérés dans le système informatique, et destinés, à un moment donné, à provoquer des dégâts importants. Selon Marco Ricca, ces programmes peuvent tout aussi bien être injectés dans le système depuis l'extérieur.

Les risques physiques

Certains pirates n'ont parfois pas besoin d'utiliser des stratégies informatiques très poussées. «Cela semble bête à dire, mais il ne faut jamais laisser de prise réseau accessible dans une salle d'attente, explique Marco Ricca. Un visiteur peut facilement pénétrer dans le système en y connectant un ordinateur portable.» Le nomadisme accru des employés donne aussi des sueurs froides aux responsables sécurité. «Ils voudraient pouvoir effectuer un maximum d'opérations depuis leur portable via un réseau sans fil dans un aéroport ou un hôtel», explique Christian Roch. Or ces réseaux sont nettement moins sécurisés que les connexions par câble présentes dans la banque.