Quand les banques sont sauvées par un pirate informatique de bonne foi
Au Québec, un pirate informatique s’est mis en tête de faire quelque chose d’assez exceptionnelle.
En effet ce dernier s’amuse à pirater le guichet automatique de billets, pour ensuite remettre l’argent qu’il a volé dans son compte en banque. Il dit qu’il le fait pour montrer aux institutions financières que leur système de sécurité a encore beaucoup d’amélioration à recevoir. « On est capable d’avoir “infini argent”, c’est-à-dire d’inventer de l’argent. Par exemple, on peut mettre le montant que l’on veut dans notre compte ou rejouer des chèques à l’infini », expliquait Laurent Desaulniers, responsable des tests d’intrusion chez GoSecure.
Cet article va aussi vous intéresser : Sécurité informatique, la problématique des banques en ligne et la protection des usagers
Et pour tout dire, cela maintenant 15 ans. Notre pirate informatique travaille de concert avec les plus grandes institutions financières du Québec pour tester leur système informatique et y déceler les vulnérabilités. « On a déjà piraté des guichets plusieurs fois pour des institutions. On a volé des brevets et de l’information confidentielle. On a volé des prototypes d’ingénierie. On a piraté des ascenseurs », explique-t-il. Bien sûr à chaque piratage, il rend aux banques ce qui leur a dérobé. « On décrit les contrôles. On ramène les actifs, on les protège. On les rend aux clients après ». Il ajoute ensuite : « C’est un type d’attaque documentée et connue. On a déjà été embauché pour faire ça. Les services secrets américains ont même fait des guides là-dessus ».
Quand ce genre d’attaques apparurent aux États-Unis, on les appela « Jackpoting » en raison du fait que sur les guichets qui s’est font pirater, le mot « Jackpot » apparaissait dessus.
Laurent Desaulniers a noté qu’il est probable que d’autres institutions financières se sont fait plusieurs fois voler de la sorte. Mais le secret professionnel l’empêche d’en dire plus sur la question. De son point de vue, il est un peu difficile de savoir quand est-ce que ces choses arrivent. En effet, contrairement aux vols de données et les fuites d’informations personnelles, la loi n’oblige pas les institutions financières a en parler, ce qui fait qu’elles ont tendance à le dissimuler. « Je ne minimise pas ce type d’attaque. Ça affecte uniquement la banque. Il n’y a pas de données volées. C’est seulement que la banque perd de l’argent » déclaré notre expert.
Interrogé sur l’affaire Desjardins, notre spécialiste de la cybersécurité a voulu souligner le fait que ce n’était pas un vol de données classique. En effet, il s’agit plutôt d’un problème lié au manque de qualification du personnel mais aussi des ressources humaines dans son ensemble. Il conclut en ces termes en disant que : « Le cas de Desjardins, ce n’est pas du piratage. Si on remonte à l’époque grecque, on avait déjà des employés malicieux. C’est un problème qui date d’avant l’informatique ». Juste pour mettre en évidence le fait une grande partie des problèmes liés à la sécurité informatique provient de l’interne. Que nos agents ne sont pas tous de bonne foi.
Accédez maintenant à un nombre illimité de mot de passe :