La nuit où un milliard
de dollars a disparu.

partie i

Le récit

La salle qui ne dort jamais

Dans la salle des opérations de la Federal Reserve Bank of New York, les écrans ne dorment jamais. Cette nuit-là, comme toutes les nuits, des dizaines d'ordres de virement transitent sans bruit — des chiffres qui bougent, des comptes qui respirent. Personne ne lève les yeux. Personne n'a de raison de le faire.

L'ordre qui arrive le 4 février 2016 à 20h47 ressemble à tous les autres. Expéditeur : Bangladesh Bank, la banque centrale du pays. Destinataire : plusieurs comptes aux Philippines et en Sri Lanka. Montant total : près d'un milliard de dollars. Le réseau SWIFT — le système interbancaire qui relie toutes les grandes banques du monde — valide la demande. Les protocoles sont respectés. Les signatures sont correctes.

Les virements partent.

Dix mois avant

Pour comprendre ce qui se passe cette nuit-là, il faut remonter au printemps 2015. Quelque part — personne ne sait exactement où, peut-être en Corée du Nord, peut-être ailleurs — un groupe de personnes très patientes commence à travailler.

Leur cible : Bangladesh Bank. Leur méthode : l'infiltration silencieuse.

Un employé de la banque reçoit un email. L'email est banal — une candidature spontanée, un CV en pièce jointe. Il ouvre le fichier. Rien ne se passe. Enfin, rien de visible. En arrière-plan, un programme vient de s'installer sur le poste. Petit, discret, patient. Il va attendre.

Pendant des mois, les attaquants observent. Ils cartographient le réseau interne. Ils apprennent les habitudes des opérateurs, les horaires, les procédures. Ils repèrent les machines connectées au système SWIFT — le Saint Graal. Ils étudient le format exact des ordres de virement, la syntaxe, les codes, les champs obligatoires.

Ils ne sont pas pressés. Un milliard de dollars, ça mérite de la patience.

Le moment choisi

La date n'est pas choisie au hasard. Le 4 février 2016, c'est un jeudi soir à New York — ce qui correspond au vendredi matin à Dhaka. Or au Bangladesh, le week-end commence le vendredi. La banque sera fermée jusqu'au dimanche. Aux Philippines, les banques destinataires seront fermées le lendemain pour cause de fête nationale.

Les attaquants ont calculé : ils auront au moins trois jours avant que quiconque remarque quoi que ce soit. Trois jours pour que l'argent disparaisse dans le système financier philippin, se fragmente, se dilue dans des casinos — des établissements où la traçabilité des fonds est quasi inexistante.

À 20h47, ils envoient trente-cinq ordres de virement. Montant total : 951 millions de dollars.

La faute d'orthographe

Trente ordres passent. Cinq sont bloqués.

Un correspondant bancaire allemand — la Deutsche Bank, utilisée comme intermédiaire — fait une vérification de routine sur l'un des virements. Le bénéficiaire s'appelle "Shalika Foundation", une entité basée au Sri Lanka. Mais dans l'ordre de virement, le mot "foundation" est orthographié "fandation".

Une lettre. Une seule lettre.

Le correspondant bloque la transaction et demande une confirmation à Bangladesh Bank. Bangladesh Bank, qui ne sait pas encore qu'elle est en train de se faire voler, met du temps à répondre. D'autres vérifications suivent. La chaîne se grippe.

Pendant ce temps, 81 millions de dollars ont déjà atteint les Philippines. Ils vont transiter par quatre comptes bancaires ouverts quelques semaines plus tôt sous de fausses identités, puis être retirés en espèces dans des casinos de Manille, où la loi anti-blanchiment ne s'applique pas aux jeux d'argent.

Une partie sera récupérée. La majorité — environ 65 millions de dollars — disparaîtra définitivement.

Le matin du lundi

Quand les employés de Bangladesh Bank arrivent le dimanche soir pour préparer la semaine, ils trouvent les imprimantes en panne. Anecdote technique, pensent-ils. Ils redémarrent les machines.

Les imprimantes étaient en panne parce que les attaquants avaient désactivé les journaux d'impression — les logs qui auraient affiché les ordres de virement. Une précaution de dernière minute. Quand les imprimantes redémarrent, les relevés commencent à sortir. Les opérateurs regardent les chiffres. Puis regardent encore.

Il faut plusieurs heures pour comprendre ce qui s'est passé. Plusieurs heures de plus pour commencer à alerter. Et quand la Bangladesh Bank appelle la Fed de New York pour demander l'annulation des virements — il est trop tard.

L'argent est déjà aux Philippines. Et le lundi, c'est férié à New York.

partie ii

Le décryptage

Une attaque en trois temps classiques

Ce qui frappe dans l'affaire Bangladesh Bank, c'est la banalité des techniques utilisées. Rien d'extraordinaire sur le plan technique. Ce qui est extraordinaire, c'est la patience, la précision de la préparation, et l'exploitation méthodique de failles humaines et organisationnelles.

L'attaque suit le schéma classique de toute intrusion avancée — ce que les professionnels appellent une APT, Advanced Persistent Threat.

Phase 1 — L'intrusion initiale par spear phishing. Un email ciblé, une pièce jointe piégée, un employé qui ouvre le fichier sans se méfier. Le malware installé est une variante de Dridex, un outil bien connu. L'entrée n'est pas sophistiquée — elle n'a pas besoin de l'être.

Phase 2 — La reconnaissance interne (lateral movement). Pendant des mois, les attaquants se déplacent discrètement dans le réseau, escaladent les privilèges, cartographient l'infrastructure. Ils cherchent les machines connectées à SWIFT Alliance Access — le logiciel qui permet d'envoyer des ordres de virement interbancaires.

Phase 3 — L'exfiltration. Les ordres de virement sont injectés directement dans le système SWIFT depuis l'intérieur. Aux yeux du réseau, ils semblent légitimes — ils viennent des bonnes machines, avec les bonnes signatures.

Le maillon faible : l'infrastructure SWIFT locale

L'une des révélations majeures de cette affaire est l'état de l'infrastructure technique de Bangladesh Bank. Les enquêteurs découvrent que les routeurs connectant la banque au réseau SWIFT sont des équipements d'occasion achetés 10 dollars pièce. Aucun pare-feu dédié. Des mots de passe par défaut non changés.

SWIFT — la coopérative interbancaire — a rappelé depuis que sa responsabilité s'arrête au niveau du réseau central. La sécurité de la connexion locale est à la charge de chaque établissement. Bangladesh Bank n'avait pas les moyens — ou pas la conscience — de sécuriser correctement ce point d'entrée critique.

L'ingénierie du timing

Le choix de la date est un enseignement à lui seul. Les attaquants ont exploité la désynchronisation des calendriers : jeudi soir New York / vendredi Dhaka / fête nationale aux Philippines / lundi férié aux États-Unis. Quatre jours de délai naturel sans qu'aucune alarme ne sonne.

C'est ce qu'on appelle l'exploitation des angles morts organisationnels. Pas une faille technique — une faille dans la continuité opérationnelle. La question à poser dans toute organisation : qui surveille quoi, quand personne n'est là ?

Pourquoi les casinos ?

Le choix des Philippines et des casinos n'est pas anodin. À l'époque, la loi anti-blanchiment philippine comporte une exception explicite pour les établissements de jeux. Les fonds qui entrent dans un casino sont légalement difficiles à tracer et à saisir.

Les 81 millions sont convertis en jetons, joués partiellement, puis reconvertis en cash — mécanisme de layering classique dans le blanchiment d'argent. Les enquêteurs philippins remonteront la piste jusqu'aux casinos, mais l'essentiel du cash aura déjà disparu.

La faute d'orthographe — hasard ou destin ?

"Fandation" au lieu de "Foundation" — c'est le détail qui a sauvé 870 millions de dollars. Mais s'agit-il vraiment d'une erreur des attaquants ?

Les analystes sont partagés. Certains pensent que c'est une simple faute de frappe dans un ordre rédigé dans une langue étrangère. D'autres notent que la Deutsche Bank dispose de systèmes de détection des anomalies textuelles — et que le mot "foundation" dans un nom d'entité bénéficiaire aurait pu déclencher une alerte automatique liée au filtrage des ONG suspectes.

Dans les deux cas, la leçon est la même : les systèmes de contrôle fonctionnent. Parfois mieux qu'on ne le croit. Parfois pour des raisons qu'on n'avait pas prévues.

Le groupe Lazarus

L'attribution de l'attaque — toujours délicate en cybersécurité — pointe vers le groupe Lazarus, lié à la Corée du Nord. Ce même groupe est associé au ransomware WannaCry en 2017 et à plusieurs attaques contre des exchanges de cryptomonnaies.

Pour la Corée du Nord, les cyberattaques à visée financière sont une source de revenus documentée — une façon de contourner les sanctions internationales. Bangladesh Bank n'était pas une cible idéologique. C'était une cible rentable, mal protégée, dans un pays où les recours juridiques internationaux seraient complexes.

Ce qu'on aurait pu faire autrement

Trois niveaux de défense auraient pu changer l'issue.

Au niveau technique — segmenter le réseau, isoler les machines SWIFT, déployer un SIEM pour détecter les comportements anormaux, changer les mots de passe par défaut. Des mesures de base, documentées dans ISO 27001 et les guides ANSSI.

Au niveau organisationnel — définir une procédure d'astreinte pour les virements au-delà d'un certain seuil, même le week-end. Exiger une double validation humaine pour les ordres inhabituels.

Au niveau de la sensibilisation — former les employés à reconnaître les emails de spear phishing. L'intrusion initiale repose sur un clic. Un seul.