Qu’est ce que le principe d’« Accountability » dans le Règlement Européen de Protection des Données Personnelles ?

Le principe d’«Accountability » n’est pas nouveau dans le domaine de la protection des données et de la vie privée. Plusieurs textes y ont déjà fait référence et notamment les lignes directrices émises par l’OCDE en 1980, le Standard de la conférence Internationale de Madrid, la norme ISO 29100 ou les règles mises en place au sein de l’APEC. Au sein même de la directive 95/46, le possible recours aux règles internes de groupe pour encadrer les transferts de données en dehors de l’Union Européenne, reflètent cette notion qui vise à responsabiliser le responsable de traitement.

Comment définir le principe d’«Accountability » ?

Ce terme est difficile à traduire en français. Cela revient à montrer comment le principe de responsabilité est mis en œuvre et à le rendre vérifiable. Il est souvent traduit en français par l’« obligation de rendre compte ».

Pour le G29[1] , cela doit s’entendre comme des « mesures qui devraient être prises ou fournies pour assurer la conformité en matière de protection des données ».

Le principe d’«Accountability » dans le Règlement Général de Protection des Données

La traduction française du texte, à savoir « le principe de responsabilité », ne reflète pas toute la signification de ce terme. C’est en lisant le détail des dispositions du règlement, que l’on en saisit la portée.

– Le responsable du traitement est responsable du respect des principes (i.e.de la licéité, de la loyauté, de la transparence des traitements, du respect du principe de finalités, de minimisation des données, de l’exactitude des données, du respect de la durée de conservation et des mesures de sécurité) ;

– Et il est en mesure de démontrer que ces dispositions sont respectées. A cet effet, l’article 22 du Règlement précise que le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées. Lorsque cela est proportionné aux activités de traitement de données, les mesures comprennent la mise en œuvre de politiques appropriées.

– Comme dans tout processus d’amélioration continue, ces mesures doivent être réexaminées et actualisées si nécessaire.

Qui est soumis au principe d’« Accountability » ?

Selon les dispositions de l’article 5 du règlement européen, ce principe concerne le responsable de traitement.

Les sous-traitants auront eux aussi des responsabilités portant sur la mise en œuvre de mesures ou sur la documentation des traitements ; mais si le vocabulaire utilisé dans le texte du règlement est souvent similaire, il ne semble pas que l’on puisse en déduire que les sous-traitants seront soumis au respect du principe d’ « Accountability ».

Il en va probablement différemment du représentant qui agit pour le compte et au nom du responsable de traitement établi en dehors de l’Union Européenne et qui de ce fait, doit remplir les obligations qui lui incombent.

De quelles mesures technique et organisationnelles s’agit-il ?

Ces mesures doivent être prise en tenant compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes.

Le G29 précise que la mise en pratique du principe d’ « Accountability » suppose une analyse au « cas par cas ».

L’article 23 du Règlement relatif à la protection des données dès la conception et par défaut, précise que le responsable de traitement met en œuvre des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, destinées à donner effet aux principes de protection des données et notamment à la minimisation.

Il est par ailleurs indiqué à l’article 28 du Règlement, que chaque responsable du traitement tient un registre décrivant les traitements et dans la mesure du possible, les mesures de sécurité techniques et organisationnelles mise en place.

Selon l’article 30 du Règlement européen, le responsable de traitement est tenu de prendre des mesures de sécurité et notamment selon les besoins :

– la pseudonymisation et le cryptage des données à caractère personnel ;

– des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement des données ;

– des moyens permettant de rétablir la disponibilité des données et l’accès à celles-ci (…) en cas d’incident ;

– une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures de sécurité.

Les mesures indiquées dans le Règlement Européen font écho à celles citées en exemple par le G29 à l’occasion de son avis[2] émis sur l’« Accountability »:

– Des politiques et procédures internes permettant de garantir le respect des principes de protection des données (notamment lors de la création ou la modification d’un traitement),

– L’inventaire des traitements,

– La répartition des rôles et responsabilités,

– La sensibilisation et formation du personnel,

– La désignation d’un délégué à la protection des données,

– La vérification de l’efficacité des mesures (contrôles, audits).

Lors de la 31ème Conférence des Commissaires à la Protection des Données et à la Vie Privée de Madrid, le principe d’«Accountability » avait été illustré de la manière suivante:

– Implémentation de procédures destinées à prévenir et détecter les failles,

– La désignation d’un ou de plusieurs délégués à la protection des données,

– Des sessions de sensibilisation et de formation régulières,

– La conduite régulière d’audits indépendants,

– La prise en compte de la réglementation au travers de spécificités techniques,

– La mise en place d’études d’impacts sur la vie privée,

– L’adoption de codes de conduite.

Le G29 a également indiqué que la transparence sur les politiques de confidentialité et sur la gestion interne des plaintes contribuait à un meilleur niveau d’« Accountability ».

Le rôle de la certification

Le Règlement européen précise que l’application d’un code de conduite approuvé ou d’un mécanisme de certification approuvé peut servir à attester du respect des obligations incombant au responsable du traitement au titre de l’ « Accountability ».

De manière générale, les actes délégués de la Commission devraient fournir de plus amples informations sur le sujet.

Le principe d’« Accountability » : une évolution plus qu’une révolution

L’« Accountability » n’est pas une révolution dans la mesure où les organisations ont déjà l’obligation de se conformer aux principes de protection des données et notamment à la loi Informatique et Libertés en France. Ce principe est d’ailleurs déjà connu des acteurs du secteur financier.

L’obligation de documentation à des fins de démonstration est en revanche plus novatrice et ce d’autant plus que les entreprises connaissent mal l’étendue de cette réglementation.

Ainsi en cas de violation des principes de protection des données, les autorités de protection des données devraient prendre en considération l’implémentation (ou pas) de mesures et l’existence de procédures de contrôle.

De plus, si les informations relatives aux procédures et politiques ne peuvent être fournies, les autorités de protection des données pourront sanctionner une organisation sur la base de ce seul manquement, indépendamment du fait qu’il y ait eu une violation des données.

Comme l’a indiqué le groupe de travail des autorités européennes de protection des données (G29), les personnes ayant des connaissances techniques et juridiques pointues en matière de protection des données, capables de communiquer, de former le personnel, de mettre en place des politiques et de les auditer seront indispensables à la protection des données.

[1] Opinion 3/2010 on the principle of accountability

[2] http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_en.pdf

… [Lire la suite]

Réagissez à cet article

Source : Règlement Européen de Protection des Données Personnelles : Le principe d’« Accountability » ou comment passer de la théorie à la pratique – CIL Consulting

Le FBI pense pouvoir déchiffrer l’iPhone d’un terroriste sans l’aide d’Apple

Alors qu’Apple refuse depuis des semaines d’aider le FBI à décrypter l’iPhone de l’un des auteurs de la tuerie de San Bernardino, le FBI vient d’annoncer qu’il tenait peut-être la solution.

La fin d’un bras de fer?

Le gouvernement américain pourrait ne plus avoir besoin des services d’Apple pour récupérer les données de l’iPhone de l’un des terroristes de l’attaque de San Bernardino survenue le 2 décembre 2015. Il a annoncé ce lundi être sur la piste d’une solution alternative. Si elle s’avère efficace, cela mettrait fin à la bataille juridique engagée depuis des semaines avec la marque à la pomme.

Une audience clé qui devait avoir lieu mardi a finalement été levée sur la demande des autorités fédérales. Les enquêteurs vont ainsi pouvoir tester « la viabilité » de leur « méthode ». Ils se sont engagés à remettre à la juge Sheri Pym d’ici le 5 avril, un rapport d’évaluation.

Les autorités optimistes

Dans un communiqué, le ministre de la justice a indiqué qu’il avait poursuivi ses efforts pour accéder à l’iPhone sans l’aide d’Apple depuis de le début de la procédure engagée contre la firme de Cupertino. Les recherches ont abouti dimanche avec la « présentation de la part de tierces parties d’une méthode possible pour débloquer le téléphone », indique le communiqué. Le gouvernement veut s’assurer que sa solution « ne détruit pas les données du téléphone », mais reste « raisonnablement optimiste ».

Les enquêteurs et les familles des victimes réclament de pouvoir accéder aux données du téléphone, potentiellement cruciales pour déterminer comment a été organisé l’attentat et si les deux terroristes ont bénéficié d’aide extérieure.

Apple de son côté campe sur ses positions

Permettre d’accéder aux données du téléphone de Syed Farook créerait un dangereux précédent qui pourrait justifier que les autorités demandent à l’avenir l’accès aux données personnelles de nombreux citoyens pour diverses raisons.

A l’occasion de la keynote d’Apple qui s’est tenue lundi, Tim Cook a justifié la position de la marque. « Nous devons décider en tant que nation quel pouvoir devrait avoir le gouvernement sur nos données et notre vie privée », a-t-il déclaré. « Nous pensons fermement que nous avons l’obligation d’aider à la protection de vos données et votre vie privée », a-t-il ajouté.

Pour rappel, le 2 décembre 2015, Syed Farook et sa femme Tashfeen Malik ont ouvert le feu dans un centre social à San Bernardino, dans l’Etat de Californie. 14 personnes ont été tuées dans la fusillade … [Lire la suite]

Réagissez à cet article

Source : Le FBI pense pouvoir déchiffrer l’iPhone d’un terroriste sans l’aide d’Apple – L’Express

Attaque informatique auprès de plusieurs grands sites de presse suédois

Au moins 7 sites de grands journaux suédois ont été paralysés simultanément samedi 19 mars en raison d’une attaque par déni de service.

« Il s’agit sans doute de la plus grande attaque jamais commise contre des sites de médias suédois », estime le Dagens Nyheter, l’un des journaux ciblés, pour qui il était « encore difficile de publier des articles » quelques heures après le pic de l’attaque.

La police a ouvert une enquête pour tenter d’identifier le ou les auteurs de cette attaque, qualifiée « de grande ampleur » par Anders Ahlqvist, spécialiste de la criminalité en ligne au sein du département des opérations nationales suédois, l’organisme consacré au crime organisé.

« Nous coopérons avec plusieurs partenaires, à la fois en Suède et à l’étranger », a-t-il précisé dans les colonnes d’Aftonbladet, un des titres visés. Anders Ahlqvist laisse entendre que cette attaque aurait transité par la Russie, tout en soulignant que cela ne signifie pas automatiquement qu’elle est issue de ce pays.

Tweets menaçants

Une piste est notamment suivie, celle de l’auteur de deux tweets menaçants relatifs à cette attaque, dont le premier a été publié quelques minutes avant le début de l’offensive. « C’est ce qui arrive quand on diffuse de la propagande mensongère », indiquait ce message en anglais, accompagné du mot-clé #offline et de l’adresse du site d’Aftonbladet.

Moins d’une heure plus tard, un autre tweet, issu du même compte, renouvelait la menace pour les jours à venir : « dans les prochains jours, le gouvernement suédois et les médias diffusant de la propagande mensongère seront visés par des attaques ».

L’auteur de ces tweets, qui utilise un pseudonyme, est inconnu. « Nous ne savons pas encore qui est derrière les attaques, mais ce qui est arrivé est une menace pour la démocratie », a déclaré la responsable de l’Association suédoise des éditeurs de presse, Jeanette Gustafsdotter, au Dagens Nyheter… [Lire la suite]

Réagissez à cet article

Source : Plusieurs grands sites de presse suédois victimes d’une attaque informatique

Cyberprotect | Nouvelles vagues de rançongiciels : comportement, conseil, solution

Nouvelles vagues de rançongiciels : comportement, conseil, solution

Les actes de cybercriminalités se comptent en nombre et de façon récurrente. Beaucoup d’entreprises, d’administrations ou de commerces sont victimes de cyberattaques. Parmi ces attaques nous trouvons des logiciels malveillants comme les rançongiciels. Pour citer l’ANSSI, « c’est une technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de p

Ces rançongiciel sont de plus en plus présents en ce moment et se renouvellent. Actuellement les alertes portent sur le rançongiciel Locky qui se propage via un e-mail de relance qui contient une facture sous le format Word. Ce serait ce même logiciel qui aurait attaqué il y a quelques jours un centre hospitalier américain, perturbant et endommageant considérablement ses activités.

http://www.lefigaro.fr/secteur/high-tech/2016/02/16/32001-20160216ARTFIG00205-un-hopital-americain-paralyse-par-des-pirates-informatiques.php

http://www.lemonde.fr/pixels/article/2016/02/18/un-hopital-americain-paye-une-rancon-a-des-pirates-informatiques_4867296_4408996.html

Malheureusement ce type de logiciel malveillant n’est pas nouveau et s’inspire même de maliciels déjà connus comme le trojan bancaire Dridex. Plusieurs campagnes de prévention avaient été déployées suite à l’identification de ce maliciel par l’ANSSI notamment, mais également par Cyberprotect, service de contrôle et de prévention en continu de la cybersécurité en entreprise :

https://www.cyberprotect.fr/bulletin-dalerte-Cyberprotect-campagne-courriel-malveillant-trojan-bancaire-dridex/

La principale raison d’être et/ou motivation de ces cyberattaques est d’extorquer de l’argent à leur victime, comme ce fut le cas pour cet hôpital américain cité plus haut qui a dû s’acquitter de 17 000 dollars de rançon pour pouvoir rétablir son activité. Et ce n’est qu’une victime parmi d’autres. La propriété intellectuelle de l’entreprise est également visée par ce type d’attaque.

Se pose maintenant la question : comment se prémunir contre ces cyberattaques ?

Une première chose est de ne pas cliquer sur un lien ou d’ouvrir une pièce jointe dont on ne connait pas la provenance. Maintenir le système d’exploitation ainsi que les antivirus à jour est également une bonne pratique. Toutefois, avec le volume de données échangées, il est devenu plus difficile d’éviter ces attaques dont les techniques d’infection se font toujours plus subtiles et discrètes… [Lire la suite]

Réagissez à cet article

Source : Cyberprotect | Nouvelles vagues de rançongiciels : comportement, conseil, solution

Les entreprises françaises touchées par une explosion de la cybercriminalité

Plus des deux tiers (68%) des entreprises françaises ont été victimes de fraude au cours des deux dernières années, un phénomène dû en particulier à l’explosion de la cybercriminalité, selon une étude de PwC publiée début mars 2016.

Ce chiffre est en progression de 13 points par rapport à la dernière étude de PwC publiée en 2014 sur le sujet, et est nettement supérieur au taux constaté au niveau mondial, qui s’établit à 36%, selon cette enquête réalisée auprès de 6.337 entreprises dans le monde dont 120 françaises.

Les entreprises de moins de 100 salariés sont de plus en plus touchées, 43% d’entre elles déclarant être victimes de fraudes (+14 points par rapport à 2014).

Au premier rang des fraudes figure toujours le détournement d’actifs au sens large, même si ce risque diminue, avec 56% d’entreprises s’étant déclarées victimes de ce phénomène en 2016 contre 61% en 2014.

La cybercriminalité explose pour sa part: 53% des entreprises ont déclaré avoir été victimes de ce type de fraudes contre 28% en 2014. Et 73% des dirigeants français redoutent de subir une cyber-attaque au cours des deux prochaines années, contre 34% au niveau mondial.

Pour autant, « plus de la moitié (des entreprises françaises) n’ont pas encore de plan d’action opérationnel pour répondre à une cyber-attaque », souligne Jean-Louis Di Giovanni, associé de PwC, cité dans le communiqué.

Parmi les autres risques figurent la fraude aux achats (25%), qui se traduit par des surfacturations de biens ou de prestations, et la « délinquance astucieuse », protéiforme, qui recouvre la fraude au président (une personne se fait passer pour le dirigeant de la société et ordonne de procéder en urgence à un virement) ou encore celle aux changements de RIB de fournisseurs.

Celle-ci a presque doublé en deux ans, passant de 10% en 2014 à 18% en 2016, selon PwC… [Lire la suite]

Réagissez à cet article

Source : Fraude: les entreprises françaises touchées par une explosion de la cybercriminalité

Tweetdeck désactivé sous Windows le 15 avril

Twitter conserve TweetDeck, mais seule la version Web sera fonctionnelle après le 15 avril.

Bonne nouvelle : Twitter n’a pas oublié Tweetdeck. Mauvaise nouvelle : seule la version Web va continuer à exister. Alors que nous nous demandions récemment si Twitter n’avait pas en projet d’abandonner son client alternatif, le réseau social a assuré vendredi dans un billet de blog qu’il « continuera à améliorer TweetDeck à l’avenir », au détriment du client Windows.

À partir du 15 avril prochain, il ne sera plus possible de se connecter sur la version Windows de TweetDeck, qui n’était déjà plus proposée en téléchargement depuis de nombreux mois. Les utilisateurs devront obligatoirement se retourner vers la version web.

TweetDeck, version web
Celle-ci étant strictement identique dans ses fonctionnalités, ça ne devrait pas poser de problèmes à la majorité des utilisateurs. Les hardcore users regretteront toutefois la disparition des notifications en pop-up qui s’affichent actuellement sous Windows lorsque l’on reçoit un DM (message privé) ou qu’un nouveau message apparaît avec un tag suivi. Celles-ci ne peuvent pas être affichées dans les navigateurs HTML.

Espérons au moins que désormais, comme semble le promettre Twitter, la version Web de Tweetdeck bénéficie d’un développement plus suivi des nouvelles fonctionnalités apportées aux clients grand public et mobiles… [Lire la suite]

Réagissez à cet article

Source : Twitter désactivera Tweetdeck sous Windows le 15 avril – Tech – Numerama

Une banque Suisse aurait cédé au chantage de hackers

20 Minutes Online - Une société au moins cède au chantage de hackers - Suisse

Une banque Suisse aurait cédé au chantage de hackers

Des établissements financiers helvétiques ont reçu des menaces d’un collectif de hackers. L’un au moins aurait payé une forte somme pour éviter une attaque, selon «20 Minuten».

Des cybercriminels s’attaquent à la place financière suisse. Au moins dix banques ont reçu en début de semaine des menaces de la part d’un collectif de hackers nommé Armada. Dans son message, le groupe affirme qu’il paralysera les serveurs des institutions si celles-ci ne s’acquittent pas d’une somme de 10’000 francs, à verser en 25 bitcoins (à l’heure actuelle, 1 bitcoin vaut 400 francs).

Les inconnus ont par ailleurs précisé qu’ils nuiront aux entreprises qui ne cèdent pas au chantage en lançant une attaque par déni de service (DDoS). Celle-ci consiste à rendre indisponible un service en submergeant ses serveurs de requêtes afin de les saturer. Si l’argent n’est pas versé dans les délais impartis, la somme revendiquée est doublée à 50 bitcoins. Chaque jour supplémentaire coûte 20 bitcoins en plus, peut-on lire dans le document que les entreprises ont reçu. «Ce n’est pas une blague. Nos attaques sont très puissantes», écrit le collectif.

Porte-monnaie virtuel crédité de 25 bitcoins

Ce n’est pas la première fois que ce groupe menace des institutions helvétiques. En novembre dernier, la Confédération avait même publié une mise en garde à l’encontre d’Armada sur son site.

Des recherches menées par nos collègues alémaniques de «20 Minuten» montrent que le porte-monnaie virtuel des maîtres-chanteurs a été crédité de 25 bitcoins. Ce qui laisse supposer qu’au moins une banque a accepté le marché des hackers. Mais comme on ignore si les pirates informatiques ont attribué un porte-monnaie virtuel différent à chaque banque menacée ou, si le même compte a été utilisé pour toutes les institutions victimes du chantage, il est impossible de savoir quelle firme a effectué le virement de 10’000 francs.

Ne jamais verser de l’argent aux inconnus

Contacté, Max Klaus, directeur adjoint de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (Melani), n’a aucune connaissance d’une banque ayant cédé au chantage. Il doute par ailleurs que le collectif Armada se cache réellement derrière ces menaces: «Normalement, le groupe Armada lance des attaques en guise de démonstration pour montrer de quoi il est capable. Mais aucune de ces démonstrations n’a été effectuée auprès des banques en question», note Max Klaus.

La Confédération déconseille de manière générale de céder au chantage et de verser de l’argent aux inconnus. «Il n’existe aucune garantie que les attaques cesseront une fois la somme payée. Les sommes versées ne font que renforcer les hackers, qui peuvent alors solidifier leur infrastructure et investir dans du matériel leur permettant de lancer des attaques de plus en plus puissantes», met en garde Max Klaus… [Lire la suite]

Réagissez à cet article

Source : 20 Minutes Online – Une société au moins cède au chantage de hackers – Suisse

Investigations numériques à la suite de l’attentat en Côte d’Ivoire

Frappée dimanche par un attentat terroriste qui a fait officiellement 18 victimes dans la station balnéaire de Grand-Bassam, à quelques encablures d’Abidjan, la Côte d’Ivoire pourra s’appuyer sur des investigations numériques pour faire avancer les enquêtes. Notamment sur l’identité des trois assaillants « neutralisés » par les forces de sécurité (CIO-Mag).

Téléphone portable retrouvé

Sur la première chaîne de télévision nationale, RTI1, le ministre d’Etat, ministre de l’Intérieur et de la Sécurité, Hamed Bakayoko, a révélé qu’un téléphone portable a été trouvé sur l’un des terroristes. A ses dires, l’appareil a été remis à la Police scientifique.

On peut imaginer qu’il sera analysé au Laboratoire de criminalistique numérique (LCN) de la Direction de l’informatique et des traces technologiques (DITT). Reste maintenant à espérer que les experts de la DITT pourront extraire de cet appareil les preuves numériques sur la provenance des assaillants ou l’organisation de cette attaque terroriste revendiquée par Al-Qaïda au Maghreb Islamique (AQMI).

A l’Etoile du sud, l’un des trois réceptifs hôteliers visés par les assaillants, le Président Alassane Ouattara a félicité la bravoure de certains clients qui ont pu envoyer des textos au centre de commandement des opérations des forces de sécurité. Ce qui a permis de localiser des assaillants et de les neutraliser.

Anselme Akéko – Abidjan … [Lire la suite]

Réagissez à cet article

Source : Attentat en Côte d’Ivoire : des investigations numériques vont accélérer les enquêtes | CIO-MAG

Canal+ victime d’un piratage informatique lundi 14 mars 2016

Le site Internet de Canal+ piraté lundi soir

Canal+ victime d’un piratage informatique lundi 14 mars 2016

Le site Internet de la chaîne cryptée a été brièvement inaccessible lundi soir à cause d’un piratage.

Le site Internet de Canal+ a été inaccessible pendant un court moment vers 23 heures, lundi soir. Il a en effet été piraté par un groupe nommé AMAR^SHG, rapporte le site NextInpact.

Contre les guerres. Les auteurs de l’attaque ont piraté le site de la chaîne cryptée afin d’y diffuser des messages dénonçant les guerres actuellement en cours dans le monde : « la guerre en Israël, au Kosovo et en Serbie, au Maroc et au Sahara occidental, en Somalie, en Russie et aux Etats-Unis, des gens y meurent chaque jour ». « Et certains trouvent le moyen d’être content (sic) et de penser à eux-mêmes », contient aussi le message envoyé par ce groupe de hackers qui se dit à la fois albanais et marocain. Un autre texte envoyé plus tard dénonce, lui, « le silence » qui entoure des années « de massacre en Syrie ».

Sur son compte Twitter, Canal+ a brièvement évoqué le problème, via une réponse à un internaute : « bonsoir, c’est en cours de résolution, nous sommes dessus »… [Lire la suite]

Réagissez à cet article

Source : Le site Internet de Canal+ piraté lundi soir

Des pirates informatiques échouent à voler un milliard de dollars à cause d’une faute d’orthographe

Vol par des pirates informatiques d’un milliard de dollars échoué de peu à cause d’une faute d’orthographe

Des cybercriminels se sont fait passer pour des « officiels » de la banque centrale du Bangladesh, afin de détourner 80 millions de dollars. Ils auraient pu récupérer jusqu’à un milliard de dollars s’il ne s’était pas trompé sur le nom d’une ONG.

C’est une faute d’orthographe qui coûte cher. Des pirates informatiques se faisant passer pour des officiels de la banque centrale du Bangladesh ont écrit « fandation » au lieu de « foundation » dans une demande de transfert d’argent à la Réserve fédérale de New York. Sans cette coquille, ces cybercriminels auraient pu empocher un magot de près d’un milliard de dollars, ont reconnu les deux institutions financières jeudi 10 mars.

Mais ces voleurs de haut vol ne sont pas repartis sans rien, a indiqué un porte-parole de la banque centrale du Bangladesh, interrogé par le Financial Times. Ils ont réussi à mettre la main sur 80 millions de dollars, ce qui en fait l’un des plus importants braquages numériques de banque. En fait, les cybercriminels ont même réussi à détourner 101 millions de dollars, mais le dernier versement de 20 millions a déjà pu être récupéré par les autorités du Bangladesh auprès d’une banque du Sri Lanka.

Pas d’ONG à cette adresse

D’après l’enquête, pour mettre leur plan à exécution, ces braqueurs 2.0 ont réussi à s’introduire début février dans le système informatique de la banque centrale du Bangladesh. Ils y ont glané les informations nécessaires pour se faire passer pour des « officiels » de cette institution financière. Ils ont ensuite commencé à passer leurs ordres de transferts d’argent à la réserve fédérale de New York, dans les coffres desquels se trouvent des fonds appartenant au Bangladesh. À chaque fois, l’argent était officiellement destiné à une association ou organisation différente au Sri Lanka ou aux Philippines.

Lorsque ces faux banquiers ont fait parvenir une demande pour obtenir 20 millions de dollars destinés soi-disant à l’ONG sri-lankaise « Shalika Fandation », la Deutsche Bank – par qui l’argent devait transiter – a voulu en savoir plus sur cette faute d’orthographe. Surprise : ils ont découvert qu’il n’existait aucune ONG à ce nom au Sri Lanka. Les autorités du Bangladesh ont donc annulé l’ordre de transfert ainsi que tous les autres, émanant de la même source. Ces opérations en cours de traitement portaient sur un montant total de 950 millions de dollars.

À qui la faute ?

Ce raté s’est doublé d’une dispute au sujet de la responsabilité des uns et des autres. Le ministre bangladais des Finances, Abul Maal Abdul Muhith, a en effet rejeté la faute sur la réserve fédérale de New York. Il a affirmé, mardi 8 mars, que les autorités américaines auraient dû se poser des questions plus tôt sur cette accumulation d’ordres de transfert d’argent en si peu de temps.

La banque américaine, de son côté, conteste cette accusation et rappelle qu’il « n’y a pas eu de faille de sécurité dans [son] système informatique ». Une manière de dire qu’avant d’essayer de se dédouaner, les autorités du Bangladesh feraient mieux de « cyber-balayer » devant leurs coffres-forts… [Lire la suite]

Réagissez à cet article

Source : Des pirates informatiques échouent à voler un milliard de dollars à cause d’une faute d’orthographe