La démission du gouverneur de la Banque centrale du Bangladesh (BCB) en mars 2016 est, dans le monde francophone, passée quasiment inaperçue. Une recherche via Google à partir de « Bangladesh over Hack » renvoie environ 140 citations en langue anglaise. Pourtant, la raison de cette démission concerne tous ceux qui se préoccupent de la sécurisation des transactions et en particulier des transactions financières : l'honorable institution s'est vue siphonner, via SWIFT, environ 80 millions de dollars d'un compte détenu à l'agence new-yorkaise de la Banque centrale des Etats Unis (Fed Reserve).
A travers ces citations, différentes analyses sont disponibles1. Depuis mars l'affaire a connu plusieurs rebondissement dont le plus récent est le rejet par les responsables du réseau SWIFT des arguments de la BCB sur leur responsabilité2. L'affaire n'est donc pas terminée, pas plus que ce genre de fraude : un cas plus récent, pour une trentaine de millions de dollars vient d'être signalé.
Il n'est pas question ici de rentrer dans les détails. Pour faire court : ce cas montre une fois de plus que la sécurité ne peut se traiter correctement que de manière globale c'est à dire, pour utiliser un expression du monde bancaire, de bout-en-bout de la chaîne transactionnelle, et ce quelque soit l'état de fragilité des supports intermédiaires.
Il va aussi sans dire, mais c'est mieux en le disant, que toute tentative de fraude doit pouvoir être détectée et traitée en « temps utile » (pour ne pas dire temps réel).
Voilà plusieurs décennies que les grands clients des banques réclament une telle sécurité, qui plus est au niveau mondial, voir le document intitulé « 15 Top Level Security Points for Global Electronic Commerce (15 critères de haut niveau pour la sécurisation transactions internationales au niveau mondial) » publié par le Black Forest Group3 en avril 1999 !
En son temps, ce document a reçu une réponse polie de Citigroup mais aucune autre sérieuse des autres acteurs financiers en dehors de souscripteurs des Lloyd's. Ces derniers se sont déclarés prêts à assurer les systèmes qui répondraient à ces critères. Certains spécialistes de la sécurité avaient jugé ces critères « désuets ». En 2016, ils semblent toujours d'actualité.
Pour revenir au cas de la BCB, celui-ci montre que les éléments d'un profil sécuritaire (accréditions, autorisations/credentials) sont essentiels mais insuffisants. La première raison en est qu'ils peuvent être usurpés. Il est vraisemblable que c'est ce qui s'est passé à l'intérieur même de la BCB. Des examens approfondis et contradictoires sont en cours. Aujourd'hui même, la BCB reconnaît qu'elle n'est toujours pas à l'abri d'une nouvelle tentative.
Toute protection conçue de manière fragmentaire, étape par étape, ne peut que se révéler insuffisante. Il est notoire que toute solution de continuité dans un chaîne transactionnelle est une brèche offerte aux cyber-pirates. La solution est ailleurs.
En quelques mots : il s'agit davantage de processus que de données. Seuls des processus adéquats peuvent offrir une sécurisation de bout-en-bout (et en temps réel). Et bien sûr, cela va mieux en le disant, ils doivent être pilotés de bout-en-bout : cela sous-entend la fourniture transparente et confidentielle des éléments pertinents en temps utile à chacun des acteurs. C'est le cœur du sujet. Dans une finance planétaire, il ne peut se satisfaire de solutions triviales.
A ce jour, je ne connais qu'une seule société au monde qui construise des systèmes répondant à ces exigences. Il s'agit d'une petite « fintech » états-unienne (InterComputer) dont les bureaux sont localisés près de Disney World et aux pieds des Wasatch en Utah. Elle est titulaire de deux ou trois brevets sur le sujet et « ses » système sont couverts par les Lloyd's à concurrence de plusieurs millions de dollars par transaction. Elle fait partie des présélectionnés par la Banque centrale des Etats-Unis pour la modernisation de leurs systèmes d'échanges. Nul doute que ses propositions seront examinées avec soin.
Certains se demanderont si une autre solution n'est pas envisageable via la technologie « blockchain ». A ce stade, je ne saurais répondre sans une analyse plus approfondie. J'aurais tendance à dire que cette technologie me paraît essentiellement fondée sur des données et que les processus implicitement mis en œuvre mériteraient des extensions sécuritaires pour fournir une réponse adéquate. Je ne suis pas sûr, non plus, que ce genre d'extension fasse partie des demandes de brevets déposées par quelques grands acteurs.
En tout état de cause, le sujet mérite un suivi sur au moins deux plans :
· les évolutions techniques et juridiques du cas de la Banque centrale du BanglaDesh,
· les projets de modernisation de la Fed Reserve.
Je fais confiance au « buzz » pour un suivi des prolongements de la « blockchain ». J'espère seulement que ce dernier sera plus critique quant aux enjeux sécuritaires.
1 Pour plus d'information, la version en anglais de Wikipedia, l'article intitulé « 2016 Bangladesh Bank heist» fournit quelques informations et pointeurs pertinents.
2 voir http://www.reuters.com/article/us-usa-fed-bangladesh-swift-idUSKCN0Y02BG.
3 C'est l'un des rares documents publics de ce club très fermé de techno-responsables de grandes multinationales.
Commentaires
Gérard Peliks
mar, 31/05/2016 - 10:36
Permalien
Qui est Jean-Yves Gresser ?
J.Y. Gresser est un ancien de la DG des Télécommunications, de la Banque Paribas, de GSI, de la Banque de France et d'Euler-Hermes. Chercheur (et investisseur) indépendant, il fait partie de plusieurs associations ou réseaux professionnels. Il se focalise notamment sur l'approche linguistique des crises et mutations.
Ajouter un commentaire