Swift à nouveau victime d’actes de piratage. Istvan Szabo (Balabit IT Security) ne s’en étonne pas : le mur de l’entreprise a déjà été franchi…
Dans une lettre privée à ses clients, Swift (Society for Worldwide Interbank Financial Telecommunication) a indiqué le cas de nouvelles cyberattaques -dont certaines ont réussi. «La menace est permanente; elle mute, devient sophistiquée et va perdurer», indique le réseau interbancaire.
Le texte suggère que les cybercriminels ont amplifié leurs efforts après le vol de la Bangladesh Bank, et qu’ils ont spécifiquement ciblé les banques ayant des procédures de sécurité laxistes en matière de transfert. Certaines victimes auraient perdu de l’argent, mais la lettre n’indique pas de montants, pas plus que le nombre d’attaques réussies. Le réseau évoque des banques de taille variées, situées à différents endroits du monde et utilisant des méthodes différentes pour accéder au réseau Swift. Leur point commun : des faiblesses de sécurité que les hackers ont exploité pour compromettre les réseaux informatiques locaux et envoyer des messages frauduleux demandant des transferts d’argent.
«Apprendre que de nouvelles banques ont été victime de piratage via le réseau Swift n’est pas une surprise, analyse Istvan Szabo de Balabit IT Security. Les banques peuvent améliorer leurs outils et procédures de sécurité comme cela est recommandé par Swift, il n’en demeure pas moins que leurs outils de sécurité actuels ne peuvent pas localiser ces attaques dans la mesure où les cybercriminels ont déjà franchi le périmètre de leurs défenses.»
Pour ce spécialiste, les cybercriminels utilisent des comptes utilisateurs qui bénéficient probablement de hauts niveaux de privilèges, ce qui leur permet de réaliser des actions importantes tout en couvrant facilement leurs traces. Les utilisateurs privilégiés sont clairement les principales cibles de ce type d’attaques. Des attaques aussi sophistiquées nécessitent des chemins beaucoup plus sophistiqués pour être détectées et stoppées -en d’autres termes, des solutions capables de voir l’invisible.
«Tout d’abord, il est indispensable de surveiller les utilisateurs privilégiés, de créer des profils spécifiques pour chacun de ces utilisateurs, puis d’appliquer sur ces profils de l’analyse comportementale basée sur des algorithmes de machine learning», conseille Istvan Szabo. Ces profils peuvent être obtenus par l’analyse des mouvements de souris, les habitudes de frappe sur le clavier, les habitudes de commandes, les IP utilisateurs, les ports et protocoles de manière transparente lorsqu’il est fait usage d’une technologie de surveillance basée sur les promis etc. Ces habitudes sont des indicateurs uniques impossibles à copier. Ces profils fonctionnent comme une base de comportements normaux pour chaque utilisateur. Ainsi des algorithmes peuvent détecter les anomalies en temps réel lorsqu’un individu exécute une action sensible, offrant à l’équipe de sécurité la possibilité de faire face à la menace.
Cette approche ajoute une couche de sécurité additionnelle, complémentant l’infrastructure de sécurité existante, ce qui lui permet de se concentrer sur les menaces jusque-là impossibles à arrêter. L’entreprise dispose ainsi d’une visibilité complète sur les activités de ses utilisateurs à privilèges, qu’ils soient internes ou des prestataires externes. «Enfin, conclut Istvan Szabo, dans ce type d’affaires l’analyse comportementale ou UBA, apporte des capacités rapides de réponses et investigations, et fournit des indications simples et claires sur les anomalies suspectes.»