L'Autorité bancaire européenne (EBA) a indiqué dimanche soir faire partie des victimes d'une cyber-attaque mondiale contre Microsoft Exchange.

C'est une cyberattaque d'envergure mondiale, qui n'ignore pas le secteur bancaire. Dimanche soir, l'Autorité bancaire européenne (EBA), située à la Défense, a expliqué faire partie des victimes de l'attaque visant les e-mails échangés via Exchange, l'outil de messagerie électronique de Microsoft, très répandu dans les entreprises occidentales. L'EBA « a fait l'objet d'une cyberattaque contre ses serveurs Microsoft Exchange, qui touche de nombreuses organisations dans le monde entier. L'Agence a rapidement lancé une enquête approfondie, en étroite coopération avec son fournisseur de TIC, une équipe d'experts en criminalistique et d'autres entités concernées », a indiqué l'entité sur son site Web.

Conséquence directe de cette attaque, « par mesure de précaution, l'EBA a décidé de mettre ses systèmes de courrier électronique hors ligne », précise encore l'Autorité, qui doit encore faire le point quant à d'éventuels dégâts ou pertes de données provoqués par cette attaque.

Lundi, l'EBA a indiqué que l'enquête se poursuivait et que l'attaque paraissait maîtrisée. « A ce stade, l'infrastructure de courriers électroniques de l'EBA a été sécurisée, et nos analyses suggèrent qu'aucune extraction de donnée n'a été réalisée, et nous n'avons pas d'indication que la brèche ait été au-delà de nos serveurs d'e-mails », a précisé l'Autorité en début d'après-midi. Selon une source, des banques européennes ont pu être touchées, mais pas davantage ou plus gravement que les attaques subies quotidiennement par le secteur. « On s'en est parlé dans le secteur, mais c'est sans gravité particulière », estime un banquier.

Faille de sécurité

Microsoft a indiqué la semaine dernière que les hackers d'un groupe basé selon lui en Chine et baptisé « Hafnium » exploitaient des failles de sécurité dans ses services de messagerie Exchange pour voler les données de ses utilisateurs professionnels.

Cet « acteur hautement qualifié et sophistiqué », selon le géant de l'informatique, a par le passé déjà ciblé des entreprises aux Etats-Unis, notamment dans le domaine de la recherche sur les maladies infectieuses, des cabinets d'avocats, des universités, des entreprises de défense, des groupes de réflexion et des ONG. Selon un expert en sécurité cité par Bloomberg, déjà 60.000 entités dans le monde seraient déjà affectées.

« C'est une faille plutôt trapue comme on dit dans le jargon », témoigne un banquier. « Pour l'exploiter il fallait passer au travers de quatre failles alignées »

Si l'attaque paraît vaste, un superviseur bancaire peut naturellement être une cible spécifique, notamment à des fins d'espionnage. Dans le cas de l'EBA, les e-mails sont notamment utilisés lors des consultations sur de nouvelles réglementations bancaires.

Une perte de donnée - hypothèse que l'EBA exclut à ce stade - exposerait potentiellement le dialogue entre le secteur bancaire et l'Autorité. En revanche, le risque serait moins direct pour les données sensibles des banques : ces dernières transmettent régulièrement aux autorités des données économiques, mais cela passe par des plateformes dédiées et non par le mail.

Politiquement, en revanche, l'affaire tombe mal, puisque les superviseurs - à l'EBA mais aussi à la Banque centrale européenne (BCE) - encouragent régulièrement les banques à renforcer leur couverture contre le cyberrisque et améliorer leur résilience informatique, au sens large.

En août 2019, déjà, une attaque avait affecté la supervision bancaire européenne, en l'occurrence la BCE. « Des tiers non autorisés ont violé les mesures de sécurité » protégeant un site Web où figure un manuel de reporting bancaire (BIRD), hébergé par un fournisseur externe, avait indiqué la banque centrale dans un communiqué.

Ce site fournit au secteur bancaire des informations détaillées sur la manière de produire des rapports statistiques et de supervision à l'adresse de la BCE et de banques centrales nationales dans la zone euro. Il est « possible que les contacts - mais pas les mots de passe - de 481 abonnés à la lettre d'information BIRD aient été capturés », avait indiqué la BCE. Il s'agissait d'un site annexe, et non des systèmes coeur.