Il y a une chose particulièrement alarmante à propos du plus grand casse bancaire de l'Inde: la cybercriminalité n'avait rien à faire. Il n'y a pas de génies technologiques sans nom et invisibles piratant les systèmes informatiques à blâmer. Ce sont plutôt des employés corrompus d'une seule succursale utilisant le réseau SWIFT (The Society for Worldwide Interbank Financial Telecommunication) qui l'ont exécuté pendant des années.
De nos jours, le récit du piratage est étrangement réconfortant. Cela ne signifie pas que la corruption va jusqu'au sommet, ou à tout le moins, cela signifie qu'il n'y a pas de rupture complète de la sécurité du système bancaire. Les criminels faisaient simplement ce que font les criminels. Tout le monde peut serrer la main à la technologie pour changer à une vitesse vertigineuse et passer à autre chose. (Lire: Fonctionnement du système SWIFT)
L'escroquerie de 1, 8 milliard de dollars de Nirav Modi du deuxième plus grand prêteur d'État de l'Inde, la Punjab National Bank (PNB.BO), est beaucoup moins élégante.
La banque avait déclaré dans sa déclaration aux échanges que les lettres de crédit frauduleuses qui permettaient aux entreprises du diamantaire de bénéficier de prêts d'une valeur de 1, 8 milliard de dollars avaient été "faites par les responsables de la succursale via SWIFT sans obtenir l'approbation de l'autorité compétente, demandes nécessaires de l'importateur, documents d'importation, la documentation juridique avec la banque et également sans faire des entrées dans le module de financement commercial de la Banque de CBS (Core Banking Solution)."
PNB a reproché à deux employés subalternes dans sa déclaration d'avoir émis des lettres illégales et envoyé des messages SWIFT qui n'étaient pas enregistrés sur le système interne.
Ce qui soulève la question: toutes les banques utilisant SWIFT sont-elles vulnérables à ce type de fraude ou l'affaire PNB implique-t-elle un niveau exceptionnel de négligence ou de collusion?
RAPIDE
Le réseau SWIFT, exploité par un consortium basé à Bruxelles et utilisé par plus de 11 000 institutions financières, a déjà été utilisé dans des cambriolages bancaires.
La banque centrale russe a récemment déclaré que des pirates avaient volé 6 millions de dollars à l'une des banques du pays en utilisant le réseau SWIFT l'année dernière. Les pirates ont pris le contrôle d'un ordinateur à la banque et l'ont utilisé pour transférer de l'argent sur leurs propres comptes. De même, en 2016, les pirates ont réussi à retirer 81 millions de dollars de la banque centrale du Bangladesh en utilisant les informations d'identification SWIFT des employés. Une banque équatorienne a déclaré avoir perdu 12 millions de dollars lors d'un vol de 2015 où les cybercriminels ont utilisé des codes SWIFT.
SWIFT a rejeté toute responsabilité pour de tels incidents. Dans une lettre adressée aux clients des banques en 2016, le groupe a déclaré que les banques sont seules responsables de la sécurité de leurs systèmes. "Les clients sont responsables de tous les messages signés avec leurs certificats et, bien sûr, de protéger leurs certificats et de garantir que seuls les opérateurs dûment autorisés peuvent les utiliser pour signer des messages", a déclaré à l'époque à Reuters une porte-parole. "SWIFT n'est pas et ne peut pas être, responsable des messages créés frauduleusement au sein des entreprises clientes. »
L'analyste de Gartner et experte en fraude financière, Avivah Litan, a déclaré dans le passé qu'il était choquant pour elle que SWIFT s'appuie si fortement sur l'authentification au lieu de «contrôles de détection de fraude très basiques» comme la recherche de bénéficiaires anormaux, la recherche de prise de contrôle de compte à distance et la recherche de accès anormal.
Mais la fraude Modi est très différente de ces cambriolages, car bien que de nouveaux détails émergent quotidiennement, la banque n'a pas allégué de piratage et l'accent a été mis sur les initiés. Une semaine après la découverte de la fraude, six employés de la Banque nationale du Pendjab ont été arrêtés par des enquêteurs fédéraux. Le plus haut rang de ces derniers est un homme qui a dirigé la succursale Brady House de la banque de 2009 à 2011.
Comme prendre des bonbons à un bébé
L'explication de la banque sur la façon dont les lettres ont été remises sans détection pendant des années est que les transactions n'ont pas été enregistrées sur son système interne car SWIFT n'y était pas intégré.
«À moins que l'environnement de contrôle ne soit très laxiste ou qu'il y ait collusion, il serait difficile de traiter les transactions SWIFT qui ne sont pas autorisées et entrées dans le noyau bancaire. Plusieurs contrôles auraient dû déclencher une alerte », a déclaré Rakesh Asthana, PDG de World Informatix Cyber Security, dont la société a été embauchée pour superviser l'enquête sur le cambriolage de la Banque du Bangladesh.
Ces contrôles incluent la séparation des tâches - les banques utilisant SWIFT ont généralement une personne qui saisit une transaction, une personne distincte approuvant la transaction et une troisième personne vérifiant toutes les transactions. Il a également déclaré que PNB aurait également pu mettre en place des rapports de validation quotidiens SWIFT pour rapprocher les totaux et les transactions chaque matin.
Mais surtout, le système d'une banque qui n'est pas lié à SWIFT, comme c'était le cas chez PNB, est très rare dans le monde financier mondial, selon Asthana.
Il y a aussi la question de savoir comment les transactions sont passées devant les auditeurs de la banque.
"En fin de compte, c'est aussi un problème de trésorerie", a déclaré Asthana dans un e-mail à Investopedia. «Il n'est donc pas clair pour moi ce que les auditeurs internes et externes ont fait, s'ils ont été approfondis dans leurs audits. S'ils avaient des objections à la vérification et que la direction n'agissait pas, cela signifierait un complot beaucoup plus important dans la chaîne de gestion. Cela nécessite une enquête approfondie pour déterminer qui savait quoi et quand. »
«Toute activité commerciale entreprise par la banque est auditée non seulement par l'équipe d'audit interne de la banque, mais également par les auditeurs simultanés qui auditent une seule succursale, il est choquant qu'un tel incident soit passé inaperçu non seulement des auditeurs, mais également de la banque principale. également », a déclaré un banquier anonyme au Economic Times. «Les audits portent sur les entreprises agréées pour faire des affaires, les factures qui sont financées, les lettres de crédit émises, les outils de financement à court terme, etc.»
L'analyste de recherche Deepak Shenoy de Capital Mind a déclaré: «À première vue, il semble que l'ancien employé soit utilisé comme bouc émissaire. Il est probable que beaucoup de gens étaient sur cette chose. Et qu'il a généré des frais massifs et lourds pour PNB pendant toutes ces années. »
L'incident a également attiré l'attention sur les diverses fraudes antérieures survenues à PNB et dans d'autres banques indiennes nationalisées. Les données de la Banque de réserve d'Inde obtenues par Reuters montrent que les banques d'État ont signalé 8 670 cas de «fraude de prêt» totalisant 612, 6 milliards de roupies (9, 58 milliards de dollars) au cours des cinq derniers exercices jusqu'au 31 mars 2017. PNB est arrivé en tête de liste avec 389 cas au total 65, 62 milliards de roupies (1, 03 milliard de dollars) au cours des cinq derniers exercices
SWIFT pourrait-il faire plus?
SWIFT fonctionne comme un système de messagerie complexe et n'assume aucune responsabilité quant à la manière dont les contrôles de fraude sont mis en place par ses clients.
«SWIFT peut rendre certains des éléments clés obligatoires au lieu de laisser le soin aux clients qui disposent de divers degrés de contrôle et de connaissances en matière de cybersécurité», a déclaré Asthana lorsqu'on lui a demandé si le réseau pouvait faire plus pour empêcher de tels incidents coûteux.
SWIFT a reconnu la nécessité d'être au moins le dénonciateur dans certains cas. En avril 2017, il a introduit le cadre des contrôles de sécurité client, qui décrit un ensemble de contrôles de sécurité obligatoires et consultatifs pour les clients. Les banques ont été invitées à auto-certifier leur niveau de conformité d'ici la fin de l'année dernière, et SWIFT a averti qu'elle se réservait le droit d'informer les superviseurs financiers si elles ne le faisaient pas. Le communiqué de presse annonçant que 89% des clients ont attesté leur conformité ne mentionne pas si les superviseurs financiers des 11% restants ont été alertés depuis le début de l'année. À partir de janvier 2019, il étend son droit de signaler les utilisateurs qui n'ont pas respecté les contrôles de sécurité les plus cruciaux.
Il est important de se rappeler qu'en janvier 2018, SWIFT a enregistré en moyenne 30, 32 millions de messages par jour et est utilisé dans 200 pays. Il s'agit d'une coopérative appartenant à ses membres et s'assurer que les banques soient plus disciplinées serait une tâche herculéenne et coûteuse pour corriger ce qui est essentiellement pourri dans l'administration des banques individuelles avec lesquelles il a peu à voir, pour protéger l'argent des personnes avec lesquelles il ne travaille pas. pour.
La réputation de SWIFT prend un coup après chaque cybercriminalité, mais il y a beaucoup de gens à blâmer en ce qui concerne la dernière fraude PNB. L'enquête semble avoir simplement effleuré la surface de ce que les experts pensent être une conspiration beaucoup plus grande, et les questions concernant le manque de surveillance sont finalement une question à laquelle la Banque nationale du Pendjab et le gouvernement indien devront répondre. SWIFT a fourni à PNB plus d'outils pour se protéger, outils qui n'étaient malheureusement pas utilisés.
Mardi, la Reserve Bank of India a publié une déclaration disant qu'elle avait mis en garde et alerté les banques sur la nécessité d'empêcher toute "utilisation malveillante potentielle de l'infrastructure SWIFT" au moins trois fois depuis août 2016. Elle a désormais mandaté les banques pour mettre en œuvre les mesures dans un délai imparti. La banque centrale a également créé un comité pour examiner "les raisons de la forte divergence observée dans la classification des actifs et le provisionnement par les banques vis-à-vis de l'évaluation prudentielle de la RBI, et les mesures nécessaires pour l'empêcher; facteurs conduisant à une incidence croissante de les fraudes dans les banques et les mesures (y compris les interventions informatiques) nécessaires pour les limiter et les prévenir, ainsi que le rôle et l'efficacité de divers types d'audits effectués dans les banques pour atténuer l'incidence de ces divergences et fraudes."
Investopedia a contacté SWIFT et a reçu la déclaration suivante: «SWIFT ne fait aucun commentaire sur des clients ou des entités individuels. Lorsqu'un cas de fraude potentielle nous est signalé, nous offrons notre assistance à l'utilisateur concerné pour aider à sécuriser son environnement. »Il a envoyé un complément à la déclaration après la publication:« Pour être clair, rien n'indique que le réseau SWIFT a jamais été compromis."
