Vous avez peut-être entendu parler de fraudes impliquant des bordereaux bancaires, mais certainement pas dans une si grande proportion : RSA, une société spécialisée dans la sécurité numérique, a lancé une alerte mercredi (2) à propos d’un logiciel malveillant appelé Bolware qui pourrait avoir causé plus de 8,5 milliards de euros de pertes avec des bordereaux falsifiés ou altérés.
La RSA affirme que le problème a été analysé par ses équipes basées en France, aux États-Unis et en Israël. La société aurait découvert les fraudes après que certains de ses experts aient infiltré des groupes secrets en ligne utilisés pour échanger des informations entre les criminels opérant sur Internet.
Le projet est si sérieux qu’il fait l’objet d’une enquête de la police fédérale en partenariat avec le FBI. Il ne pouvait en être autrement : les enquêtes indiquent qu’environ 40 ordinateurs appartenant aux criminels se trouvaient aux États-Unis. Il s’agit donc d’un gang international, mais qui ne fait pratiquement de victimes qu’en France, puisqu’il n’y a que des factures ici.
En fait, le Bolware (le nom est une étrange combinaison de “boleto” et de “malware”) s’est répandu dans tout le pays : la RSA affirme que depuis fin 2012, date de la découverte du fléau, 19 variations ont été détectées sur 192 227 ordinateurs situés en France, tous basés sur Windows.
Les moyens de diffusion de Bolware sont les mêmes que d’habitude : connaissez-vous ces e-mails avec des pièces jointes douteuses et les liens suspects qui se répandent sur les réseaux sociaux que nous avons l’habitude de supprimer ? Oui, il y a encore beaucoup de gens qui ne se rendent pas compte que ces messages sont faux.
Si les criminels n’ont pas eu besoin d’une grande ingéniosité pour faire se répandre Bolware, on ne peut pas en dire autant de la sa façon d’agir : une fois qu’elle a infecté l’ordinateur, la peste commence à surveiller le navigateur (du moins les plus connus – Chrome, Firefox et Internet Explorer) et agit lorsqu’elle remarque que l’utilisateur paie pour un boleto.
Le problème est que Bolware est si discret que même l’utilisateur le plus attentif aurait du mal à soupçonner quelque chose : selon la RSA, lorsqu’une opération de paiement est effectuée, un malware intercepte la transmission et échange les données du boleto légitime ; le système de la banque finit alors par recevoir et traiter les informations du faux boleto.
Il peut également arriver qu’une page avec un ticket (généré par un magasin en ligne, par exemple) soit interceptée et affichée à l’utilisateur déjà avec des données modifiées. Comme les informations les plus visibles ne sont pas modifiées – le cédant et le montant du paiement, par exemple – les chances que l’utilisateur perçoive quelque chose de mal sont très faibles.
L’enquête de la RSA indique que plus de 495 000 transactions ont été modifiées par le système. La société ne connaît pas avec certitude la valeur de la perte : les 8,5 milliards correspondent à une estimation, car il n’y a pas d’informations exactes sur le nombre de factures frauduleuses qui ont été effectivement payées. Mais cela n’est pas rassurant : le montant peut être plus élevé en raison d’un éventuel montant de fraudes non détectées.
Jusqu’à présent, aucune autorité ne s’est exprimée sur cette affaire. La Febraban, l’entité qui représente les banques en France, s’est limitée à dire qu’elle ne se prononce pas sur les enquêtes en cours.
Compte tenu des incertitudes sur les dimensions de ce dispositif (près de 500 000 bolets ont-ils été changés ?), la prévention reste le meilleur remède : soyez prudent avec les pièces jointes et les liens des e-mails, gardez le système d’exploitation et les applications à jour, n’accédez pas aux services bancaires sur internet à partir d’ordinateurs publics, etc.
Il convient de souligner que ce n’est pas la première fois qu’une action de ce type est découverte: un virus qui altère les données des factures avait déjà été identifié l’année dernière. Il n’est pas clair s’il existe un lien entre les deux affaires.
