Casse de la Banque du Bangladesh : la faute qui a sauvé un milliard
Le casse de la Banque du Bangladesh a vu des hackers liés à Lazarus voler 81 millions de dollars via SWIFT en 2016, un milliard évité grâce à une simple faute d’orthographe.
L’ordre est arrivé via SWIFT, le système de messagerie qui forme la colonne vertébrale de la finance mondiale, un jeudi soir tranquille à Dhaka. Trente-cinq instructions de paiement, toutes émises depuis le compte de la Banque du Bangladesh à la Federal Reserve de New York, demandant le transfert de près d’un milliard de dollars vers des comptes aux Philippines et au Sri Lanka.
Les trente premières sont passées.
Un mot mal écrit
La trente-et-unième instruction désignait un bénéficiaire nommé « Shalika Fandation » — une faute pour « Foundation ». Un employé de la Deutsche Bank, en cours d’acheminement du paiement, s’est arrêté pour interroger l’orthographe. Cette pause s’est propagée jusqu’à ce que l’ensemble du lot soit mis en attente. Sur le milliard qui aurait dû partir, environ huit cent cinquante millions ont été rappelés avant de quitter le bâtiment.
Les quatre-vingt-un millions restants avaient déjà été compensés. Ils ont transité par des comptes aux Philippines, ont été lessivés dans des casinos de Manille — un angle mort des règles anti-blanchiment à l’époque — et ont en grande partie disparu.
Des mois dans le réseau
Les enquêteurs ont conclu par la suite que les attaquants étaient présents dans le réseau de la Banque du Bangladesh depuis plus d’un an avant le transfert. Ils avaient étudié les fenêtres horaires de SWIFT, suffisamment compris la configuration des imprimantes locales pour supprimer la trace papier des transferts frauduleux, et attendu un long week-end couvrant trois fuseaux juridiques différents pour maximiser le délai entre le casse et sa découverte.
Le département de la Justice américain a fini par attribuer l’opération à des acteurs étatiques nord-coréens, dans le cadre d’un schéma plus large d’opérations cyber à but lucratif liées au groupe Lazarus.
Ce que la chronique retient
C’est le moment où SWIFT a cessé d’être traité comme un bus de messages de confiance pour devenir une surface d’attaque. Chaque institution membre, grande ou petite, héritait de la posture de sécurité de la plus faible. Cette nuit-là, une faute d’orthographe a été la seule chose qui séparait le système interbancaire moderne d’une humiliation à un milliard.