Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

Les USA et SWIFT : une non révélation qui fait la Une...

Impossible de passer à côté. Les Etats-Unis auraient hacké SWIFT. De quoi faire sursauter toute personne qui sait ce qu'est ce réseau. Pour ceux qui sont peu intéressés par les histoires bancaires, SWIFT est un réseau bancaire qui permet à une banque A d'envoyer un message à une banque B en lui disant : je débite le compte de mon client C de telle somme et je la porte au crédit de ton client D. Imaginez... Les Etats-Unis seraient au courant des transactions internationales interbancaires.

Impossible de passer à côté. Les Etats-Unis auraient hacké SWIFT. De quoi faire sursauter toute personne qui sait ce qu'est ce réseau. Pour ceux qui sont peu intéressés par les histoires bancaires, SWIFT est un réseau bancaire qui permet à une banque A d'envoyer un message à une banque B en lui disant : je débite le compte de mon client C de telle somme et je la porte au crédit de ton client D. Imaginez... Les Etats-Unis seraient au courant des transactions internationales interbancaires. Ca fout la trouille non ?

De quoi faire la Une de toute la presse.

Il y a juste deux ou trois trucs qui clochent.

Premier point, depuis le 11 septembre, les Etats-Unis ont fait en sorte de collecter tout ce qu'ils pouvaient auprès des infrastructures qui s'occupent de transferts de fonds. Cette information est connue depuis très longtemps. Et d'ailleurs, SWIFT l'explique sur son site. Demain, tout le monde s'étonnera de découvrir que les transactions par cartes (Visa, Mastercard, American Express, etc.) sont également pompées par les services américains...

Envoyer des bombes sur la tête des terroristes est une option militaire. Mais elle ne va évidemment pas sans une autre option : celle qui consiste à assécher les moyens de financement des opérations terroristes. Il faut donc conjuguer les bombes (et tous leurs dommages "collatéraux") à une chasse aux comptes bancaires utilisés par les organisations terroristes. Les Etats-Unis ne se sont pas privés de cette action.

Il n'y a donc rien de neuf dans cette histoire. Mais cela semble mériter la Une. Allez comprendre...

Ensuite, il y a les vieux de la vieille, qui se marrent un coup... Vous m'excuserez cher lecteur, mais à ce stade, je dois passer à la première personne du singulier pour mon récit même si ce n'est pas très journalistiquement correct. En même temps, chez Reflets, on fait du journalisme gonzo, alors... Passer à la première personne du singulier me permet d'ajouter un peu de contexte.

Des banques pas si sécurisées que cela

Figurez-vous que si je me suis intéressé au monde des hackers vers 1993/1994, c'est que l'on découvrait un nouveau réseau, Internet. Et comme je travaillais sur les banques dans un journal financier très sérieux, je savais que leurs réseaux étaient particulièrement bien protégés. Je me demandais donc ce qui se passerait si elles ouvraient une porte sur un réseau public, comme cela commençait à arriver aux Etats-Unis. En France, il faudra attendre 1996/1997 pour que les banquiers abandonnent leur discours commun : "sur Internet ? Il n'y a que des pirates et des pédophiles, on n'a rien à faire là dessus". Elles décident alors d'y aller sur le mode : "dites, vous, là, au service informatique, il nous faut un site Web en production dans 1 mois, débrouillez-vous avec une queue de budget s'il le faut". Et les sites bancaires français ont commencé à apparaître sur le Web. Ils étaient faits n'importe comment (article du 03/04/2000) puisque les informaticiens ne connaissaient pas ces technologies, pas plus que les SSII avec lesquelles les banques travaillaient (article du 29/06/2001). Il a fallu quelques années pour que ça se stabilise et pour que ces sites deviennent autre chose que des plaquettes commerciales.

J'ai donc approché quelques groupes de hackers comme ADM, w00w00, Rhino9, L0pht, etc. Ils ont eu l'amabilité de répondre à mes questions techniques de béotien. Cela n'a pas fait de moi un hacker, je suis assez nul en technique et ne code pas. Mais cela a sans doute fait de moi un utilisateur très averti du réseau. Au delà de ça, le temps passant, tous ces hackers sont devenus des amis et nous avons beaucoup échangé. J'ai été pendant des années un observateur taiseux de leurs aventures. Cela m'a permis de comprendre quelques petites choses.

Premier point, les machines connectées à Internet sont généralement accessibles. Surtout pour ceux qui passent leur temps à trouver des failles (zero days) qui, par principe ne sont pas rendues publiques. Elles finissent par fuiter, mais c'est lent (relire mon article récent sur les attributions).

Deuxième point, il y a des hacks qui ne sont jamais racontés dans la presse. C'est très bien comme ça, mais pour ceux qui les connaissent, cela permet de relativiser ceux que l'on découvre dans les journaux.

A titre d'exemple, il y a très, très longtemps, une machine équipée de tous les outils nécessaires pour utiliser SWIFT et se trouvant sur un réseau bancaire a été p0wnée par quelques "informaticiens de talent". Cela n'a pas fait la Une. Premier point, ils n'ont jamais revendiqué cette opération. Deuxième point, ils n'en ont rien fait. Le fait d'être arrivés là leur suffisait sans doute et ils n'avaient aucune intention de commettre une infraction une fois dans la machine. Plusieurs fois, j'ai même pu les voir réparer les failles et disparaître des machines qu'ils avaient hackées.

A l'époque, les banques étaient de grosses utilisatrices du réseau X25. Et les hackers, eux, étaient des passagers clandestins de ce réseau... C'était une autre époque où les groupes de hackers réunissaient des compétences variées (téléphonie, satellites, réseau, code, applicatif, etc.). Et cette époque m'a permis de relativiser ma certitude du fait que les réseaux des banques étaient très sécurisés.

Bref, accéder à SWIFT n'est pas une nouveauté. Avant les USA et leur volonté de tout traquer, des hackers le faisaient déjà.

Bullshit habituel

C'en est fini des paradis fiscaux... Nous allons traquer les auteurs d'évasion fiscale ! Combien de fois avons-nous entendu ce type de déclarations martiales ces dernières années ? Les récents leaks (LuxLeaks, Panama Papers pour ne citer que ceux-là) ont produit des effets sur les dirigeants politiques. Allez, finie la fraude fiscale...

Oui, sauf que non...

Elle se porte toujours bien. La seule réponse a été double :

  • Créer des listes noires, grises, blanches de pays. Considérés comme paradis fiscaux, ils finissaient dans les listes noires. Mais pour en sortir, il suffisait de signer des accords internationaux de coopération pour dénoncer les méchants fraudeurs. Les paradis fiscaux ont donc décidé de signer des accords... avec d'autres paradis fiscaux. Hop, le tour est joué.
  • Ouvrir, notamment en France, des bureaux de régularisation. Vous avez fraudé ? Il est encore temps de venir vous dénoncer et on règlera tout ça au mieux de nos intérêts communs. Vous paierez une amende et vous pourrez régulariser votre situation et vos fonds.

Pourtant, et ce n'est pas une nouveauté non plus, il n'y a pas de système mieux notarisé que celui des banques. Pas une transaction qui ne soit archivée. Denis Robert s'est époumoné pendant des années à propos de Clearstream sur ce point. SWIFT est un autre notaire des transactions financières. En d'autres termes, si de l'argent est "transféré" dans un paradis fiscal, il y a une trace chez Clearstream, SWIFT, dans la banque de départ. Tracer et poursuivre les exilés fiscaux est probablement l'une des choses les plus aisées du monde pour un ou des gouvernements qui en auraient la volonté. Mais cela ne s'est jamais fait. A part, bien sûr, pour poursuivre les terroristes. Quand ils n'utilisent pas des réseaux intraçables. Allez comprendre...

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée