Ces cybercriminels se sont fait passer pour des « officiels » de la banque centrale du Bangladesh, afin de détourner 80 millions de dollars. Ils auraient pu récupérer jusqu’à un milliard de dollars s’il ne s’était pas trompé sur le nom d’une ONG.

 

C’est une faute d’orthographe qui coûte cher. Des pirates informatiques se faisant passer pour des officiels de la banque centrale du Bangladesh ont écrit « fandation » au lieu de « foundation » dans une demande de transfert d’argent à la Réserve fédérale de New York. Sans cette coquille, ces cybercriminels auraient pu empocher un magot de près d’un milliard de dollars, ont reconnu les deux institutions financières jeudi 10 mars.

Mais ces voleurs de haut vol ne sont pas repartis sans rien, a indiqué un porte-parole de la banque centrale du Bangladesh, interrogé par le Financial Times. Ils ont réussi à mettre la main sur 80 millions de dollars, ce qui en fait l’un des plus importants braquages numériques de banque. En fait, les cybercriminels ont même réussi à détourner 101 millions de dollars, mais le dernier versement de 20 millions a déjà pu être récupéré par les autorités du Bangladesh auprès d’une banque du Sri Lanka.

Pas d’ONG à cette adresse

D’après l’enquête, pour mettre leur plan à exécution, ces braqueurs 2.0 ont réussi à s’introduire début février dans le système informatique de la banque centrale du Bangladesh. Ils y ont glané les informations nécessaires pour se faire passer pour des « officiels » de cette institution financière. Ils ont ensuite commencé à passer leurs ordres de transferts d’argent à la réserve fédérale de New York, dans les coffres desquels se trouvent des fonds appartenant au Bangladesh. À chaque fois, l’argent était officiellement destiné à une association ou organisation différente au Sri Lanka ou aux Philippines.

Lorsque ces faux banquiers ont fait parvenir une demande pour obtenir 20 millions de dollars destinés soi-disant à l’ONG sri-lankaise « Shalika Fandation », la Deutsche Bank – par qui l’argent devait transiter – a voulu en savoir plus sur cette faute d’orthographe. Surprise : ils ont découvert qu’il n’existait aucune ONG à ce nom au Sri Lanka. Les autorités du Bangladesh ont donc annulé l’ordre de transfert ainsi que tous les autres, émanant de la même source. Ces opérations en cours de traitement portaient sur un montant total de 950 millions de dollars.

À qui la faute ?

Ce raté s’est doublé d’une dispute au sujet de la responsabilité des uns et des autres. Le ministre bangladais des Finances, Abul Maal Abdul Muhith, a en effet rejeté la faute sur la réserve fédérale de New York. Il a affirmé, mardi 8 mars, que les autorités américaines auraient dû se poser des questions plus tôt sur cette accumulation d’ordres de transfert d’argent en si peu de temps.

La banque américaine, de son côté, conteste cette accusation et rappelle qu’il « n’y a pas eu de faille de sécurité dans [son] système informatique ». Une manière de dire qu’avant d’essayer de se dédouaner, les autorités du Bangladesh feraient mieux de « cyber-balayer » devant leurs coffres-forts.