Plus de 100 banques concernées, 30 pays touchés et des pertes pouvant se chiffrer entre 300 millions et 1 milliard de dollars (265 à 883 millions d'euros) : l'attaque informatique, détaillée dans un rapport publié lundi par la société russe de cybersécurité Kaspersky Lab pour l'ouverture de sa grande conférence annuelle, a bien des allures de «casse du siècle», comme le claironne son bureau français sur Twitter.

Mais contrairement à ce que pourrait laisser croire le rapport (et ses premiers échos dans la presse), le groupe - baptisé «Carbanak», du nom du logiciel malveillant utilisé par les pirates - n'est pas un nouveau venu sur la scène encombrée de la criminalité informatique : il a déjà fait l'objet, sous le nom d'«Anunak», d'une étude conjointe des Néerlandais de Fox-IT et des Russes de Group-IB, rendue publique en décembre. Les dégâts avaient alors été évalués à quelque 15 millions d'euros.

Portillon. Actif depuis 2013, Anunak-Carbanak a infecté les réseaux des banques via lespear phishing, ou «harponnage» : des mails personnalisés, envoyés à un nombre limité de cibles, contenant une pièce jointe infectée par un logiciel malveillant. En l'espèce, le malware utilisé, qui exploite des failles de vieilles versions de Microsoft Office, a permis aux attaquants d'installer des «portes dérobées» pour accéder à distance aux ordinateurs, puis remonter dans les réseaux. Par la suite, les pirates ont procédé à plusieurs reprises à des transferts de fonds vers des comptes domiciliés aux Etats-Unis et en Chine. Ils ont aussi utilisé les distributeurs automatiques pour faire des retraits en liquide. C'est d'ailleurs après avoir constaté que des distributeurs se déclenchaient sans intervention apparente que certaines victimes ont alerté Kaspersky.

Comment la facture a-t-elle pu grimper à ce point entre décembre et février ? Selon l'étude menée par Fox-IT et Group-IB, les victimes sont essentiellement des banques russes. D'après Kaspersky, le groupe s'est aussi attaqué à des institutions financières américaines, allemandes, chinoises et ukrainiennes. Lesquelles, évidemment, ne se bousculent pas au portillon pour témoigner. Du côté d'Europol, qui participe à la coordination des recherches, son directeur, Rob Wainwright, se borne à signaler que «les infections rapportées dans l'Union européenne ne sont pas confirmées à ce stade». Chez Fox-IT, on n'a pas plus d'éléments, mais on souligne qu'il y a une différence entre cibles et victimes avérées. D'où, sans doute, la fourchette très large des estimations avancées aujourd'hui.

Vertige. Reste qu'au-delà des chiffres, qui peuvent donner le vertige, le cas Anunak-Carbanak est symptomatique de l'évolution des menaces en matière de cybersécurité.

«Les outils logiciels utilisés ne sont pas extrêmement complexes, explique Erik De Jong chez Fox-IT. Mais l'opération elle-même l'est : les attaquants se sont donné le temps d'étudier le fonctionnement des banques, et d'exploiter les failles humaines.» Autrement dit : pas besoin de compétences techniques très élevées pour espérer faire des dégâts conséquents.

Quant à savoir qui se cache derrière cette opération, c'est comme toujours un épais mystère. Le rapport de Kaspersky avance que «certains indicateurs suggèrent une origine en Chine», notamment la localisation des serveurs de contrôle à distance, mais qu'il peut s'agir d'une fausse piste. Même prudence chez Fox-IT, où Erik De Jong insiste sur la nécessité d'une enquête de long terme. Rendez-vous au prochain «casse du siècle» ?