Cyberattaque bancaire : BGFIBank dément, bluffe et menace

poste par Anne-Sophie Laborieux / 30 juin, 2023

Le Groupe BGFIBank soutient qu’elle n’a subi aucune cyberattaque contre sa filiale de la RDC. Si la banque menace de porter plainte aux médias qui persisteraient, elle rassure que son système fonctionne correctement à ce jour. Pourtant, les cybercriminels du groupe BianLian ont publié, par après, une partie des fichiers subtilisés tandis que des spécialistes amenuisent, quant aux cybers attaques, la force des certifications et normes brandies comme arguments par la banque gabonaise.

© GabonReview (Montage)

Exercice de communication dont il aurait stratégiquement pu se passer en l’occurrence, le Groupe BGFIBank dément avoir été victime d’une cyberattaque de la part des cybercriminels du groupe BianLian le 21 juin dernier. Dans un communiqué daté du 26 juin, la banque affirme qu’après vérifications internes, aucune cyberattaque n’a été subie par sa filiale en République démocratique du Congo (RDC). Ces «allégations, du reste malveillantes – demeurent totalement infondées et diffamatoires», a déclaré le Groupe BGFIbank, non sans préciser que la sécurité de ses systèmes est un pilier fondamental de sa politique de développement.

Des certifications de confiance et de qualité… contre la cybercriminalité de haut niveau ?

Pour rassurer l’ensemble de ses «parties prenantes – filiales, collaborateurs, actionnaires, fournisseurs, clients, partenaires» de ce que la sécurité de ses systèmes est un élément clé de sa stratégie de développement et un aspect essentiel du service qu’elle fournit à tous ses clients, BGFIbank brandi deux certifications aux standards internationaux (AML 30 000 et MSI 20 000) et la démarche de certification de l’ensemble de ses entités à la norme PCI-DSS.

Or, les normes AML 30 000, MSI 20 000 et PCI-DSS ne peuvent offrir une protection totale contre les cyberattaques. Bien que l’AML 30 000 aide à lutter contre le blanchiment d’argent et le financement du terrorisme, elle n’est pas efficace contre les cyberattaques de haut niveau. De même, la certification MSI 20 000, bien qu’elle permette d’assurer des services informatiques de qualité et de mettre en place des mesures de sécurité, n’est pas spécifiquement conçue pour contrer les cyberattaques. Quant à la norme PCI-DSS, elle vise principalement à réduire la fraude liée aux cartes de crédit, mais elle n’est pas une solution complète pour la cybersécurité. Ces normes et certifications ne garantissent donc pas une protection totale contre les cyberattaques. Certaines sont juste des arguments concurrentiels. Si tout ce dispositif n’est pas de la sécurité Potemkine, ça y ressemble tout de même.

«Dans son communiqué, le Groupe BGFI a rappelé certaines de ces certifications pour démontrer qu’il s’agit d’un groupe de confiance et de qualité. Cependant, parmi les certificats mentionnés, seul le PCI-DSS, une norme concernant la sécurité du traitement des transactions de paiement électronique par carte, est spécifiquement lié à la sécurité des données. Les autres certificats, notamment AML 30 000 et MSI 20 000, qui sont cités dans le communiqué ne concernent pas la sécurité des données ni la cybersécurité», a écrit, le 26 juin dans Africa cybersecurity Magazine, Christelle Houeto, une journaliste spécialisée.

Menace pour l’omerta ?

Le groupe bancaire d’Afrique centrale assure qu’il se réserve «le droit d’engager des actions légales contre toute tentative d’actes diffamatoires à son endroit». Une tentative de noyer le poisson, tant il est connu que la communication zéro permet bien souvent d’éviter l’effet boule de neige.

Avant une attaque en justice de GabonReview, on s’attend donc à une plainte contre Clément Domingo alias SaxX, l’ancien hacker reconverti qui, le même 26 juin, a indiqué (fac-similés à l’appui) que le groupe cybercriminel BianLian a rendu public la liste des fichiers récupérés lors de la cyberattaque perpétrée contre la BGFIBank. On s’attend également à une plainte contre le groupe BianLian, bien connu du Federal bureau of investigation (FBI), de la Cybersecurity and infrastructure security agency (CISA) et de l’Australian cyber security centre (ACSC) qui ont certifié et listé ses méfaits aux USA, en Australie et à Cuba, entre autres. Mais aussi à une plainte contre Koffi Acakpo, journaliste digital ayant relayé et publié les fac-similés mis sur la place publique par les cybercriminels de BianLian ou encore contre Christelle Houeto, autre journaliste digital revenue sur l’affaire trois jours après le démenti de BGFIBank.

Quid de l’origine des données publiées ?

Pour rappel, les pirates informatiques ont demandé une rançon de 55 bitcoins, soit environ 1,5 million d’euros ou 998 millions de FCFA au moment de l’attaque. La preuve de leur réussite : une petite partie de la liste de fichiers en leur possession a été diffusée sur certains réseaux. Selon SaxX, ayant également publié les fac-similés butin de BianLian, le compte à rebours du chantage s’est terminé le 27 juin. On ne sait rien de l’issue de cette tentative de truanderie digitale.

Si l’on veut bien croire au démenti de BGFBank, «il reste une grosse interrogation : d’où proviennent les dizaines de gigaoctets de données qui sont publiées», demande Christelle Houeto qui rappelle un autre fait survenu sur le continent noir : victime d’une cyberattaque, et malgré la divulgation des données piratées en avril dernier, la BOA Bank Mali avait également démenti l’attaque contre elle. Une réaction amenant à se demander si les banques africaines usent de la stratégie de la dénégation pour minimiser l’impact des cyberattaques.