Le secteur bancaire libanais est le seul du pays à bénéficier depuis le début des années 2000 d’un véritable corpus normatif en matière de protection contre la cybercriminalité. Mais la culture du secret qui y règne et une communication parfois lénifiante de certains de ses acteurs tendent à estomper la réalité des menaces.
Été 2012, émoi dans le secteur bancaire libanais : le géant russe de la sécurité informatique Kaspersky déclare avoir découvert un nouveau type de cheval de Troie ayant infecté plusieurs milliers d’ordinateurs pendant près d’un an, et singulièrement ceux des clients de sept banques libanaises. Ce maliciel baptisé Gauss permet de voler les mots de passe et les identifiants de comptes bancaires en ligne en contournant la plupart des procédures de sécurité en vigueur – dont les antivirus ou le système de clavier virtuel. Il n’aurait servi qu’à espionner les transactions sans engendrer de dégâts financiers directs. C’est en tout cas sur ce point que se focalise la stratégie de communication de la Banque centrale et des rares établissements communiquant sur le sujet, suscitant une certaine perplexité parmi les spécialistes de la sécurité informatique. « Il ne suffit pas de dire que les clients n’ont pas subi de préjudice financier direct, puisque ce n’était pas le but cherché par les concepteurs de Gauss. Dans le patrimoine que confie le client à sa banque, il y a aussi un aspect informationnel, qui, dans des cas comme les demandes de crédit par exemple, comporte des données très complètes, voire sensibles pour lui. Cette politique de sécurité par l’obscurité, consistant à cacher la réalité des attaques subies et des protections mises en œuvre, est contre-productive », s’indigne encore Hadi el-Khoury, vice-président de l’Association franco-libanaise des professionnels de l’informatique. Une réticence à la transparence qui semble faire office de règle dans le secteur au vu des refus opposés à la plupart des demandes d’interviews sollicitées par Le Commerce du Levant auprès des principaux établissements bancaires : sur la quinzaine contactés, seules la Blom Bank et la Fransabank se sont prêtées à l’exercice dans les délais impartis ; l’une d’entre elles allant même jusqu’à confesser dans un courriel que « la cybersécurité n’a pas encore été totalement intégrée dans (leur) stratégie », sans préciser si cela faisait référence à la seule communication…
Un dispositif normatif rassurant
Des réticences à communiquer d’autant plus étonnantes que le secteur bancaire est le seul du pays à bénéficier depuis longtemps d’un arsenal juridique dans le domaine de la cyberprotection. Dans le cadre de sa mission de régulateur, la Banque du Liban (BDL) a émis depuis le début du siècle plus d’une dizaine de circulaires réglementant des champs aussi divers que la sécurité de l’information, la continuité des infrastructures, les services en ligne ou les transactions électroniques. « Mais la protection nécessite aussi de pouvoir s’adapter sans cesse aux nouvelles menaces, pour cela chaque banque est soumise à une inspection annuelle de la Commission de contrôle bancaire et les banques doivent par ailleurs être auditées par un prestataire extérieur devant nous envoyer son rapport au moins deux fois par an », précise Ali Nahlé, le directeur du département informatique de la BDL. De même, la Banque centrale a sécurisé son système de paiement en le faisant reposer non pas sur un seul réseau, le traditionnel Swift, mais également sur une plate-forme nationale sécurisée – baptisée Siti – afin de garantir la continuité du service. « Ce nouveau système est protégé par un processus d’identification exigeant que chaque personne habilitée à effectuer une transaction dispose de deux clés, l’une partagée avec ses homologues et l’autre personnelle. Ce qui est bien plus sécurisé qu’un simple chiffrement par logiciel », poursuit Ali Nahlé. Siti est en vigueur depuis septembre 2012 sur le volet des règlements bruts en temps réel qui concerne les transactions instantanées et irrévocables sur de gros montants entre les banques. Il est également effectif depuis novembre dernier pour celui des compensations et doit être installé d’ici à la fin de l’année pour les transactions du secteur public. La BDL a également imposé le système d’alerte par SMS pour toutes les transactions électroniques : « Ce système nous a par exemple permis de détecter une tentative de fraude multiple effectuée depuis plusieurs pays étrangers à la suite de nombreux signalements obtenus dans un bref laps de temps », se félicite Ali Nahlé.
Au-delà de cette réglementation nationale, les banques ont également adopté plusieurs normes et procédures de sécurité pour leurs systèmes informatiques et leurs services électroniques. Il s’agit essentiellement du suivi des recommandations de normes internationales, émises notamment par des institutions telles que l’Organisation internationale de normalisation – avec en particulier la norme ISO:27001 publiée en 2005. L’industrie des cartes de paiement demande en outre depuis 2004 aux institutions financières d’adopter la norme PCI-DSS et de satisfaire à une douzaine d’exigences qui relèvent parfois du bon sens comme celle de demander de se doter et de maintenir une politique de sécurité des systèmes d’information ou d’avoir un pare-feu…
Menace ubiquitaire
Là où le bât blesse, c’est que le respect de ces normes peut théoriquement être réduit à un simple code de bonnes pratiques si le contrôle ne suit pas. Exemple avec la norme PCI-DSS dont la certification par un auditeur externe agréé – il y en a un peu plus de 300 à l’échelle mondiale et un seul installé au Liban – n’est impérative qu’au-delà de six millions de transactions électroniques, un volume rarement atteint par les banques libanaises. Cette certification ne met d’ailleurs pas à l’abri son bénéficiaire à en juger par les récents déboires du marchand américain Target. Et les intrusions informatiques sont loin d’être la seule faille : « Souvent, le personnel des banques est peu conscient du fait que le danger peut venir de partout, à commencer par l’intérieur. C’est particulièrement vrai au Liban, où la formation aux dangers de l’ingénierie sociale était jusqu’à peu quasiment inexistante », relève Jayson Street. Ce consultant pour la société Krypton Security raconte ainsi l’expérience vécue quelques heures auparavant lorsque, affublé d’une casquette et d’un polo à capuche, il a pu, dans l’indifférence générale, pénétrer dans trois agences d’une banque cliente de sa société en se faisant passer pour un technicien informatique et en repartir tantôt avec l’ordinateur portable d’un employé, tantôt avec la carte à puce personnelle d’un autre…
« C’est la meilleure manière de leur faire comprendre à quel point il ne faut jamais baisser sa garde », conclut-il amusé.
Les banques interrogées affirment être bien conscientes du problème et multiplier les initiatives de formation, qu’elles soient internes ou dispensées dans le cadre de séminaires organisés par l’Association des banques libanaises. Elles insistent également sur la nécessité de sensibiliser l’ensemble de la chaîne, utilisateur final compris. « De même que la sécurité routière repose en premier chef sur la vigilance du conducteur, le comportement des utilisateurs joue un rôle primordial pour parer aux risques en relation avec la sécurité informatique. Nous avons par exemple publié un guide interne afin que nos employés puissent informer le mieux possible les clients sur les bonnes pratiques à adopter », déclare Antoine Lawandos, directeur général adjoint et directeur des systèmes d'information de la Blom Bank. Indispensable, la pédagogie n’est pas suffisante, surtout si elle aboutit à donner l’illusion de la sécurité, sans tenir compte de la diversification et de la sophistication des méthodes cybercriminelles. « Il faut bien avoir à l’esprit que quelles que soient les parades trouvées, les pirates redoubleront d’ingéniosité pour trouver la faille et qu’aucun système aussi perfectionné soit-il n’est invulnérable », affirme le cofondateur de Krypton, Khalil Sehnaoui. Exemple : le dispositif d’envoi de code de validation par SMS pour les transactions en ligne est censé garantir l’identité du donneur d’ordre. Mais dans l’édition 2013 de son rapport sur les menaces de sécurité, l’entreprise de sécurité Sophos note ainsi avoir « commencé à rencontrer des (maliciels) pour Android (et BlackBerry) capables d'intercepter ces codes envoyés par SMS » sans livrer davantage d’informations sur leur utilisation pratique. Certaines banques, parmi lesquelles HSBC, ont, elles, choisi de passer à un système alternatif et considéré comme plus sûr qui remplace le téléphone par un boîtier électronique dédié.
Inviolable, la puce ?
Si les banques doivent se protéger contre des attaques portant sur les transactions électroniques effectuées en ligne et leurs systèmes d’informations, elles ne peuvent ignorer les risques que représentent les supports physiques comme les cartes bancaires. Rivalisant d’innovation et de communication pour sortir sans cesse de nouveaux produits, les banques parviennent progressivement à toucher un public toujours plus vaste : la BDL a recensé pas moins de 1 887 106 cartes en circulation, soit une progression annuelle de 4,5 % dans un pays pourtant réputé pour être accro au cash. Impossible toutefois de savoir quelle est la proportion de cartes à bande magnétique parmi cette flotte. Une précision de taille au vu de la prolifération dans le monde des pratiques de “skimming” qui consistent à manipuler les automates et les terminaux de paiement à l’aide d’un équipement spécial (caméra, scan introduit dans la fente, etc.) copiant les données contenues sur la piste magnétique, ou bien des forums pullulant sur la Toile pour expliquer comment fabriquer des “YesCards”, des clones simulant le fonctionnement d'une vraie carte bancaire à ceci près qu'elles répondent « oui » à toute demande de transaction.
Autant de menaces auxquelles le remplacement de ces cartes par des cartes à puce est censé mettre un terme. Ces dernières répondent depuis 1995 au standard de sécurité EMV (dénomination correspondant aux fondateurs Europay, MasterCard et Visa) qui s’est imposé en Europe avant de dominer désormais le marché mondial. Elles combinent des méthodes d'authentification cryptographique, réputées pour rendre impossible leur clonage, et l'utilisation d'un code PIN, limitant considérablement l’intérêt d’un vol. Au Liban, les banques commercialisant les cartes des fabricants adhérents à ce standard ont jusqu’à l’année 2015 pour effectuer l’intégralité de la substitution. Reste aussi à moderniser les terminaux de paiement des commerces – soit plusieurs dizaines de milliers d’unités – pour que cette sécurité soit effective. C’est notamment à ce niveau qu’a été identifiée la première brèche dans cette ligne maginot cryptographique : en 2012 l’équipe de Ross Anderson, professeur d'ingénierie en sécurité informatique à l'Université de Cambridge, publie une étude qui brise le mythe de l’invulnérabilité de la puce en démontrant la possibilité d’une attaque se basant sur la fragilité des procédures de vérification de certains terminaux répondant aux normes EMV. En fonction de leur coût et de leur ancienneté, certains peuvent être victimes d’attaques dites “Man-in-the-Middle” consistant à intercepter (à proximité ou en ligne pour ceux qui sont connectés par ondes) et modifier les communications entre celui-ci et la banque afin de lui faire croire que la vérification du code PIN a été réussie en renvoyant le code correspondant à une entrée correcte du code, même si celui-ci n’a jamais été tapé. Expérimentée en laboratoire, cette méthode pourrait s’avérer dévastatrice si des pirates suffisamment doués parviennent à la répliquer avant que les commerces ne s’équipent tous de terminaux à clavier numérique.
Cette faille n’est pas isolée. Parfois c’est la combinaison de la norme EMV avec d’autres technologies conçues au départ pour d’autres usages qui peut poser problème. C’est par exemple le cas des cartes bancaires sans contact qui commencent à émerger au Liban. Basées sur la norme technologique NFC (Near Field Communication), ces cartes permettent d’effectuer des achats sans qu’il soit besoin de les introduire physiquement dans un terminal. Or la sécurité de cette technologie a déjà été compromise par des études scientifiques ou des pirates. Un spécialiste de sécurité allemand, Thomas Skora, a même développé une application Android dédiée à cette activité : Paycardreader. Une fois téléchargée, elle permet à un smartphone compatible avec NFC de scanner les cartes bancaires sans contact passant à proximité ! Si cette appli n’a pas fait long feu sur la plate-forme officielle de Google, son code reste néanmoins téléchargeable sur la Toile.
Être mieux protégé que le voisin
Des failles qui sont rarement évoquées dans les propos souvent rassurants des acteurs du secteur, à l’échelle libanaise comme internationale. Reste que si dans le reste du monde, les langues tendent progressivement à se délier sous la pression des spécialistes et de législations toujours plus protectrices pour les consommateurs, l’opacité régnant au Liban continue de prévaloir. « Compte tenu de la loi sur le secret bancaire, il n’est pas possible de connaître le nombre exact d’attaques tentées contre le secteur », concède ainsi Ali Nahlé. « Il nous arrive parfois, lors de nos premiers tests chez un client, de lui apprendre que son système est compromis depuis plusieurs années », sourit Khalil Sehnaoui, qui poursuit : « Bien sûr cela arrive à tout le monde, même aux plus importantes organisations gouvernementales, et le but du jeu est de préserver la société du plus grand nombre possible d’attaques, voire, au final, d’être mieux protégé que son voisin afin que le pirate aille plutôt chez ce dernier… »
Un dispositif normatif rassurant
Des réticences à communiquer d’autant plus étonnantes que le secteur bancaire est le seul du pays à bénéficier depuis longtemps d’un arsenal juridique dans le domaine de la cyberprotection. Dans le cadre de sa mission de régulateur, la Banque du Liban (BDL) a émis depuis le début du siècle plus d’une dizaine de circulaires réglementant des champs aussi divers que la sécurité de l’information, la continuité des infrastructures, les services en ligne ou les transactions électroniques. « Mais la protection nécessite aussi de pouvoir s’adapter sans cesse aux nouvelles menaces, pour cela chaque banque est soumise à une inspection annuelle de la Commission de contrôle bancaire et les banques doivent par ailleurs être auditées par un prestataire extérieur devant nous envoyer son rapport au moins deux fois par an », précise Ali Nahlé, le directeur du département informatique de la BDL. De même, la Banque centrale a sécurisé son système de paiement en le faisant reposer non pas sur un seul réseau, le traditionnel Swift, mais également sur une plate-forme nationale sécurisée – baptisée Siti – afin de garantir la continuité du service. « Ce nouveau système est protégé par un processus d’identification exigeant que chaque personne habilitée à effectuer une transaction dispose de deux clés, l’une partagée avec ses homologues et l’autre personnelle. Ce qui est bien plus sécurisé qu’un simple chiffrement par logiciel », poursuit Ali Nahlé. Siti est en vigueur depuis septembre 2012 sur le volet des règlements bruts en temps réel qui concerne les transactions instantanées et irrévocables sur de gros montants entre les banques. Il est également effectif depuis novembre dernier pour celui des compensations et doit être installé d’ici à la fin de l’année pour les transactions du secteur public. La BDL a également imposé le système d’alerte par SMS pour toutes les transactions électroniques : « Ce système nous a par exemple permis de détecter une tentative de fraude multiple effectuée depuis plusieurs pays étrangers à la suite de nombreux signalements obtenus dans un bref laps de temps », se félicite Ali Nahlé.
Au-delà de cette réglementation nationale, les banques ont également adopté plusieurs normes et procédures de sécurité pour leurs systèmes informatiques et leurs services électroniques. Il s’agit essentiellement du suivi des recommandations de normes internationales, émises notamment par des institutions telles que l’Organisation internationale de normalisation – avec en particulier la norme ISO:27001 publiée en 2005. L’industrie des cartes de paiement demande en outre depuis 2004 aux institutions financières d’adopter la norme PCI-DSS et de satisfaire à une douzaine d’exigences qui relèvent parfois du bon sens comme celle de demander de se doter et de maintenir une politique de sécurité des systèmes d’information ou d’avoir un pare-feu…
Menace ubiquitaire
Là où le bât blesse, c’est que le respect de ces normes peut théoriquement être réduit à un simple code de bonnes pratiques si le contrôle ne suit pas. Exemple avec la norme PCI-DSS dont la certification par un auditeur externe agréé – il y en a un peu plus de 300 à l’échelle mondiale et un seul installé au Liban – n’est impérative qu’au-delà de six millions de transactions électroniques, un volume rarement atteint par les banques libanaises. Cette certification ne met d’ailleurs pas à l’abri son bénéficiaire à en juger par les récents déboires du marchand américain Target. Et les intrusions informatiques sont loin d’être la seule faille : « Souvent, le personnel des banques est peu conscient du fait que le danger peut venir de partout, à commencer par l’intérieur. C’est particulièrement vrai au Liban, où la formation aux dangers de l’ingénierie sociale était jusqu’à peu quasiment inexistante », relève Jayson Street. Ce consultant pour la société Krypton Security raconte ainsi l’expérience vécue quelques heures auparavant lorsque, affublé d’une casquette et d’un polo à capuche, il a pu, dans l’indifférence générale, pénétrer dans trois agences d’une banque cliente de sa société en se faisant passer pour un technicien informatique et en repartir tantôt avec l’ordinateur portable d’un employé, tantôt avec la carte à puce personnelle d’un autre…
« C’est la meilleure manière de leur faire comprendre à quel point il ne faut jamais baisser sa garde », conclut-il amusé.
Les banques interrogées affirment être bien conscientes du problème et multiplier les initiatives de formation, qu’elles soient internes ou dispensées dans le cadre de séminaires organisés par l’Association des banques libanaises. Elles insistent également sur la nécessité de sensibiliser l’ensemble de la chaîne, utilisateur final compris. « De même que la sécurité routière repose en premier chef sur la vigilance du conducteur, le comportement des utilisateurs joue un rôle primordial pour parer aux risques en relation avec la sécurité informatique. Nous avons par exemple publié un guide interne afin que nos employés puissent informer le mieux possible les clients sur les bonnes pratiques à adopter », déclare Antoine Lawandos, directeur général adjoint et directeur des systèmes d'information de la Blom Bank. Indispensable, la pédagogie n’est pas suffisante, surtout si elle aboutit à donner l’illusion de la sécurité, sans tenir compte de la diversification et de la sophistication des méthodes cybercriminelles. « Il faut bien avoir à l’esprit que quelles que soient les parades trouvées, les pirates redoubleront d’ingéniosité pour trouver la faille et qu’aucun système aussi perfectionné soit-il n’est invulnérable », affirme le cofondateur de Krypton, Khalil Sehnaoui. Exemple : le dispositif d’envoi de code de validation par SMS pour les transactions en ligne est censé garantir l’identité du donneur d’ordre. Mais dans l’édition 2013 de son rapport sur les menaces de sécurité, l’entreprise de sécurité Sophos note ainsi avoir « commencé à rencontrer des (maliciels) pour Android (et BlackBerry) capables d'intercepter ces codes envoyés par SMS » sans livrer davantage d’informations sur leur utilisation pratique. Certaines banques, parmi lesquelles HSBC, ont, elles, choisi de passer à un système alternatif et considéré comme plus sûr qui remplace le téléphone par un boîtier électronique dédié.
Inviolable, la puce ?
Si les banques doivent se protéger contre des attaques portant sur les transactions électroniques effectuées en ligne et leurs systèmes d’informations, elles ne peuvent ignorer les risques que représentent les supports physiques comme les cartes bancaires. Rivalisant d’innovation et de communication pour sortir sans cesse de nouveaux produits, les banques parviennent progressivement à toucher un public toujours plus vaste : la BDL a recensé pas moins de 1 887 106 cartes en circulation, soit une progression annuelle de 4,5 % dans un pays pourtant réputé pour être accro au cash. Impossible toutefois de savoir quelle est la proportion de cartes à bande magnétique parmi cette flotte. Une précision de taille au vu de la prolifération dans le monde des pratiques de “skimming” qui consistent à manipuler les automates et les terminaux de paiement à l’aide d’un équipement spécial (caméra, scan introduit dans la fente, etc.) copiant les données contenues sur la piste magnétique, ou bien des forums pullulant sur la Toile pour expliquer comment fabriquer des “YesCards”, des clones simulant le fonctionnement d'une vraie carte bancaire à ceci près qu'elles répondent « oui » à toute demande de transaction.
Autant de menaces auxquelles le remplacement de ces cartes par des cartes à puce est censé mettre un terme. Ces dernières répondent depuis 1995 au standard de sécurité EMV (dénomination correspondant aux fondateurs Europay, MasterCard et Visa) qui s’est imposé en Europe avant de dominer désormais le marché mondial. Elles combinent des méthodes d'authentification cryptographique, réputées pour rendre impossible leur clonage, et l'utilisation d'un code PIN, limitant considérablement l’intérêt d’un vol. Au Liban, les banques commercialisant les cartes des fabricants adhérents à ce standard ont jusqu’à l’année 2015 pour effectuer l’intégralité de la substitution. Reste aussi à moderniser les terminaux de paiement des commerces – soit plusieurs dizaines de milliers d’unités – pour que cette sécurité soit effective. C’est notamment à ce niveau qu’a été identifiée la première brèche dans cette ligne maginot cryptographique : en 2012 l’équipe de Ross Anderson, professeur d'ingénierie en sécurité informatique à l'Université de Cambridge, publie une étude qui brise le mythe de l’invulnérabilité de la puce en démontrant la possibilité d’une attaque se basant sur la fragilité des procédures de vérification de certains terminaux répondant aux normes EMV. En fonction de leur coût et de leur ancienneté, certains peuvent être victimes d’attaques dites “Man-in-the-Middle” consistant à intercepter (à proximité ou en ligne pour ceux qui sont connectés par ondes) et modifier les communications entre celui-ci et la banque afin de lui faire croire que la vérification du code PIN a été réussie en renvoyant le code correspondant à une entrée correcte du code, même si celui-ci n’a jamais été tapé. Expérimentée en laboratoire, cette méthode pourrait s’avérer dévastatrice si des pirates suffisamment doués parviennent à la répliquer avant que les commerces ne s’équipent tous de terminaux à clavier numérique.
Cette faille n’est pas isolée. Parfois c’est la combinaison de la norme EMV avec d’autres technologies conçues au départ pour d’autres usages qui peut poser problème. C’est par exemple le cas des cartes bancaires sans contact qui commencent à émerger au Liban. Basées sur la norme technologique NFC (Near Field Communication), ces cartes permettent d’effectuer des achats sans qu’il soit besoin de les introduire physiquement dans un terminal. Or la sécurité de cette technologie a déjà été compromise par des études scientifiques ou des pirates. Un spécialiste de sécurité allemand, Thomas Skora, a même développé une application Android dédiée à cette activité : Paycardreader. Une fois téléchargée, elle permet à un smartphone compatible avec NFC de scanner les cartes bancaires sans contact passant à proximité ! Si cette appli n’a pas fait long feu sur la plate-forme officielle de Google, son code reste néanmoins téléchargeable sur la Toile.
Être mieux protégé que le voisin
Des failles qui sont rarement évoquées dans les propos souvent rassurants des acteurs du secteur, à l’échelle libanaise comme internationale. Reste que si dans le reste du monde, les langues tendent progressivement à se délier sous la pression des spécialistes et de législations toujours plus protectrices pour les consommateurs, l’opacité régnant au Liban continue de prévaloir. « Compte tenu de la loi sur le secret bancaire, il n’est pas possible de connaître le nombre exact d’attaques tentées contre le secteur », concède ainsi Ali Nahlé. « Il nous arrive parfois, lors de nos premiers tests chez un client, de lui apprendre que son système est compromis depuis plusieurs années », sourit Khalil Sehnaoui, qui poursuit : « Bien sûr cela arrive à tout le monde, même aux plus importantes organisations gouvernementales, et le but du jeu est de préserver la société du plus grand nombre possible d’attaques, voire, au final, d’être mieux protégé que son voisin afin que le pirate aille plutôt chez ce dernier… »