Banque

Des pirates informatiques font chanter la BCGE

Rex Mundi réclame 10 000 euros d’ici vendredi. Sans quoi, les hackers menacent de publier les 30 000 e-mails de clients qu’ils ont dérobés

La Banque Cantonale de Genève (BCGE) a été la cible d’une cyberattaque, mercredi. Ses auteurs? Le groupe de pirates Rex Mundi, bien connu pour ses tentatives de chantage sur Internet.

Les «rois du monde» (traduction du latin), ne s’en cachent pas. Sur Twitter, ils expliquent leur démarche en détail. Dans un premier post datant du 5 janvier, Rex Mundi explique avoir identifié une nouvelle cible («Target acquired»). Deux jours plus tard, le ou les pirates déclarent être prêts à publier de nouvelles données («new leak») dans les prochains jours, s’ils ne se font pas payer par leur nouvelle victime.

Les hackers continuent à faire monter la pression jusqu’à jeudi matin, lorsqu’ils décident de publier le nom de leur nouvelle cible: «Nous avons piraté les serveurs de la Banque Cantonale de Genève (BCGE)».

Ils ajoutent aussi un lien dans leur message, qui renvoie le lecteur vers une page sur laquelle ils livrent encore davantage de détails: «La semaine dernière, nous avons piraté les serveurs de la Banque cantonale de Genève. Si nous n’avons pas eu accès aux comptes bancaires, nous avons pu télécharger 30192 e-mails privés envoyés tant par des clients suisses et étrangers de la banque ainsi que de nombreuses données intéressantes (inscriptions à des conférences, listes d’e-mails,…).»

Pour prouver ce qu’ils avancent, les pirates publient deux e-mails de clients avec leur nom, leur date de naissance, leur numéro de téléphone, leur adresse e-mail et, dans un cas, l’adresse. Le premier client se plaint de ne pouvoir accéder à son compte alors qu’il se trouve à Singapour pour le travail, tandis que le second souhaite clôturer son compte et transférer le solde en France.

Les pirates expliquent enfin avoir décidé de publier ces deux e-mails suite au refus de la banque de céder à leur chantage. Surtout, ils annoncent qu’ils feront de même avec les 30190 e-mails restant, si la BCGE ne leur verse pas 10 000 euros d’ici à vendredi soir. Rex Mundi invite même les clients de la banque à contacter la BCGE pour qu’ils l’encouragent à verser la rançon.

Les menaces se font via le compte «Rex Mundi» sur Twitter. Un compte qui a déjà été utilisé pour raconter le chantage fait à Domino’s Pizza ou à Exaris, une société d’intérim belge à laquelle les pirates assuraient avoir volé 11 000 applications d’emplois. En quelques occasions, il s’est avéré que l’ampleur des données dérobées était bien inférieures à ce que Rex Mundi prétendait.

Plainte déposée

La BCGE a porté plainte. Et la police a, elle aussi, identifié le groupe de pirates. «Cette attaque n’a pas atteint le cœur de notre système, rassure Hélène de Vos Vuadens, la porte-parole de la banque. En fait, l’interface qui a été piratée concerne les formulaires de contact disponibles sur le site de la banque et qui permettent aux clients d’effectuer des requêtes de base, comme une commande de nouvelle carte, par exemple. Du coup, les données qui ont pu être extraites sont des informations «non critiques». Nom, prénom, numéro de compte ou de téléphone, adresse e-mail, etc...

L’incident est donc considéré comme mineur par la banque, puisque ni elle, ni aucun de ses clients n’a subi de dommages financiers. «Au pire, conclut la porte-parole, ils détiennent un numéro d’utilisateur. Mais ce n’est qu’une des trois clés qui permettent aux clients d’accéder à leurs comptes sur internet»

La nature de l’attaque dont a fait l’objet la banque interpelle pourtant un spécialiste. «Aujourd’hui, une banque ne devrait pas pouvoir faire l’objet d’une injection SQL (ndlr, une requête qui permet de lire le contenu de la base de données)», s’étonne Philippe Oechslin, le patron et le fondateur de la société Objectif Sécurité, à Gland. Nous réalisons régulièrement des audits dans les établissements financiers, et il est très rare d’y trouver ce genre de failles».

«Nous avons fait auditer notre système. Et ces formulaires de contact étaient considérés comme suffisamment protégés, explique la porte-parole de la BCGE. «Nous allons profiter de cette mésaventure pour renforcer nos protections là où cela nous semble désormais nécessaire», ajoute-t-elle. Rex Mundi, lui, ironise, sur «la Suisse, son chocolat, ses montagnes et ses sites bancaires SQL injectable»

La police a-t-elle la moindre chance de retrouver les pirates et de pouvoir les arrêter? «Ils se sont rendus anonymes sur le réseau Tor (ndlr, un logiciel libre ou les échanges sont anonymes), explique Philippe Oechslin. C’est aussi sur ce réseau qu’ils publient les données qu’ils ont volées. Mais il arrive régulièrement que les pirates fassent des erreurs et qu’ils puissent ainsi être identifiés».

En attendant, les accès au formulaire sont bloqués et la BCGE continue d’informer les clients concernés. Elle propose à qui le souhaite de changer d’identifiant ou de numéro de compte.

La question du secret bancaire, si les pirates publient ces informations? La BCGE renvoie la responsabilité aux assaillants: «Je rappelle que nous avons fait l’objet d’une attaque, répond Hélène de Vos Vuadens. Les informations interceptées sont, certes des données privées, mais dont la portée est limitée, dans la mesure où certaines d’entre elles figurent déjà sur d’autres bases de données publiques ou semi-publiques, comme les annuaires, par exemple».

Publicité