Un groupe de 100 malfaiteurs spécialisés dans le ré-encodage de cartes bancaires avec des informations piratées à réussi le tour de force de dérober 11,4 millions d’euros en 3 heures au Japon, via des milliers de retraits simultanés opérés dans tout le pays durant une “zone d’ombre”.
Il s’agit là de l’une des plus grosses opérations cybercriminelles coordonnées menées au sein d’un pays, avec un timing très serré et spectaculaire. Le Japon a été durement frappé par un groupe de cybercriminels ayant méticuleusement préparé leur coup : des milliers de clones de carte bancaire piratées prêt à l’usage et une centaine de personnes étalées dans tout le pays. Le bilan est lourd avec 1,4 milliard de yens (11,4 millions d’euros) volés via des retraits frauduleux opérés depuis une multitude de distributeurs automatiques de billets (DAB ou ATM).
Ce braquage de banque numérique, où les voleurs ont poussé à l’extrême la logique habituelle du cybercrime qui consiste à voler des petits montants en très grands volumes, a été révélé par la presse japonaise le 23 mai, le casse en lui même ayant eu lieu dans la nuit du 15 mai, entre 5 et 7 heures du matin heure locale et à partir de 22 heures en Afrique du Sud, permettant l’exploitation d’une zone d’ombre dans la surveillance bancaire. Chaque retrait était chronométré et ne dépassait jamais le seuil maximal de 100 000 yens (soit environ 816 euros).
Bref, comme vous l’aurez compris, ce “casse” est d’une sophistication sans précédent et fait suite à de nombreux cyber-braquages qui inquiètent les autorités financières au niveau mondial (Bangladesh et Equateur).
N’oublions pas les multiples fuites de données sensibles ayant touchés des établissement bancaire de premiers ordre : fin avril, un groupe de pirates turcs a réussi à s’emparer de 1,5 gigabits de données confidentielles des clients de la Qatar National Bank, puis un autre groupe baptisé Buhtrap est quant à lui parvenu à cumuler un butin de 26 millions de dollars en plusieurs mois grâce à un grand nombre d’attaques ciblées sur plusieurs banques russes.
Provenance des données bancaires piratées
Ce gang de cybercriminels ont utilisé 1600 clones de cartes bancaires ré-encodées à partir de données piratées sur Internet à la South African Standard Bank Group, une banque dont le siège est situé à des milliers de kilomètres de là en Afrique du Sud et qui n’ayant aucun lien avec le Japon. Ils avaient bien pris le soin de s’éparpiller sur l’ensemble du territoire japonais avant de lancer l’attaque globale, à Tokyo et dans 16 autres villes du pays, près d’une quinzaine de distributeurs automatiques de billets.
Peu de temps avant, la banque sud-africaine en question s’est fait piratée et les données personnelles et les codes chiffrés de 1600 de ses clients se sont retrouvés entre les mains des cybercriminels.
L’exploitation de la “zone d’ombre” bancaire liée à l’horaire de l’attaque en Afrique du Sud a permis aux attaquants de ne pas être repéré pendant les quelques heures qu’a duré l’attaque, et de couvrir temporairement les 14 000 retraits en espèces effectués. Ce n’est qu’un petit matin que la banque africaine a tiré la sonnette d’alarme en qualifiant la fraude de “sophistiquée et coordonnée“, comme le rapporte Reuters. La perte pour l’établissement de Johannesburg est estimée à 300 millions de rands, soit environ 17 millions de dollars. La South African Standard Bank Group se veut rassurante en certifiant que les clients victimes ne seront pas pénalisés par cette perte massive.
Déjà des pistes et des interrogations
Les autorités japonaises sont déjà sur la piste d’une organisation criminelle internationale, qui aurait volé les données en ligne en amont avant de fabriquer des fausses cartes en ré-encodant des cartes magnétiques vierges. Plusieurs suspects, dont un homme de nationalité roumaine, sont considérés comme suspects.
Bien entendu, cette gigantesque fraude bancaire pose des évidentes questions de sécurité et met fortement en cause le manque flagrant de modernité des distributeurs automatiques de billets japonais. En effet, la banque ciblée pour l’opération est la Seven Bank, l’une des deux seules banques acceptant les cartes de crédit étrangères dans le pays, mais aussi l’une des deux seules qui acceptent les cartes bancaires magnétiques, connues pour être facile à répliquer.
A ce sujet, Ars Technica rappelle que Visa et Mastercard ont donné jusqu’au mois d’octobre 2017 pour que tous les distributeurs au monde se mettent aux nouvelles normes, à savoir la détection des cartes via les puces.
Trend Micro, l’éditeur de solutions de sécurité, se dit inquiet par la tournure et l’ampleur actuelle des choses :
“Les banques et les institutions financières ont pris l’habitude de traiter les problèmes de sécurité électronique comme un simple paramètre à vérifier dans leur check-list. Et il faut absolument que ça change. Là, on est face à des actions de plus en plus sophistiquées, des organisations de plus en plus grosses et des dommages financiers de plus concrets. C’est bien la preuve qu’il faut que les choses changent radicalement“.
Actuellement, une enquête est ouverte, et les polices sud-africaines et japonaises travaillent en coopération avec Interpol pour tenter de remonter la piste du gang cybercriminel à l’origine du casse.
D’après les premiers éléments, il se pourrait fortement que les données bancaires collectées en Afrique du Sud pourraient provenir de « skimmers », appareils malveillants placées discrètement dans les distributeurs de billets piégés, qui permettent d’enregistrer les coordonnées bancaires des clients en toute transparence pour les utiliser à des fins illicites ensuite. Affaire à suivre.