L’institution financière suisse Habib Bank AG Zurich enquête sur des informations faisant état d’une cyberattaque majeure après qu’un groupe de ransomware a revendiqué la responsabilité du vol d’environ 2,5 téraoctets de données internes. Les attaquants, connus sous le nom de Qilin, ont déclaré avoir obtenu près de deux millions de fichiers de la banque, y compris des informations sensibles sur les clients et des documents internes.
Le groupe a publié l’affirmation sur son site de fuite le 5 novembre et a publié des captures d’écran qui semblent montrer des scans de passeports, des soldes de comptes bancaires, des enregistrements de transactions et des sections du code logiciel interne de la banque. Les chercheurs en cybersécurité qui ont examiné les documents divulgués ont déclaré qu’ils semblaient correspondre aux données prises auprès d’une institution financière, bien que la violation n’ait pas encore été vérifiée de manière indépendante.
Habib Bank, fondée en 1967, est présente dans plusieurs régions, dont la Suisse, le Royaume-Uni, les Émirats arabes unis, Hong Kong et le Kenya. La société emploie près de 8 000 personnes dans près de 600 succursales dans le monde et a déclaré un chiffre d’affaires d’environ 750 millions de dollars l’année dernière. La banque n’a pas encore commenté publiquement l’incident ni confirmé si ses systèmes avaient été compromis.
Si elle est confirmée, l’atteinte serait l’une des attaques les plus graves contre une institution financière européenne cette année. L’ampleur des données prétendument prises suggère que les attaquants avaient un accès profond aux systèmes opérationnels. Les experts en cybersécurité affirment que l’inclusion du code source interne pourrait permettre d’autres attaques ou exposer les faiblesses de l’infrastructure numérique de la banque.
Le groupe Qilin, qui a été lié à plusieurs grandes campagnes d’extorsion, utilise généralement un modèle de double extorsion. Il crypte les systèmes des victimes et vole de grands volumes de données, puis menace de divulguer les informations volées à moins qu’une rançon ne soit payée. La divulgation publique sur le site de fuite du groupe est souvent utilisée pour accroître la pression et nuire à la réputation de l’organisation victime.
Les institutions financières restent des cibles fréquentes pour de telles opérations en raison du volume d’informations sensibles qu’elles détiennent et de l’effet de levier financier potentiel que les attaquants peuvent obtenir. Les banques sont également interconnectées dans plusieurs juridictions, ce qui complique la réponse et la surveillance réglementaire. Les experts avertissent que les groupes de ransomware exploitent souvent des systèmes obsolètes, des dépendances logicielles tierces et une infrastructure héritée complexe difficile à corriger rapidement.
Pour les clients de Habib Bank, l’exposition potentielle des identifiants personnels et des enregistrements de transactions augmente le risque de fraude et d’usurpation d’identité. Si les données divulguées sont authentiques, elles pourraient également permettre des tentatives d’hameçonnage ou d’ingénierie sociale ciblant les titulaires de comptes et le personnel. Les autorités en Suisse et au Royaume-Uni devraient examiner si la banque doit informer les régulateurs ou les clients concernés en vertu de la loi sur la protection des données.
Les enquêtes visent maintenant à confirmer l’étendue de la violation et à déterminer comment les attaquants y ont accès. Les équipes d’investigation examinent probablement si la compromission provient de systèmes internes, d’un accès au fournisseur ou des informations d’identification des employés. Étant donné l’affirmation selon laquelle le code source interne a été volé, la banque devra peut-être auditer ses outils de développement de logiciels et surveiller les tentatives d’exploitation du code nouvellement exposé.
Les attaques par ransomware contre les institutions financières sont de plus en plus structurées et professionnelles. Selon les analystes, les acteurs de la menace passent d’un hameçonnage opportuniste à des campagnes en plusieurs étapes qui combinent le vol de données, l’extorsion financière et la manipulation du marché. Les groupes criminels opèrent désormais avec des hiérarchies de type entreprise et s’appuient souvent sur des partenaires pour le blanchiment de données, la négociation et la maintenance de l’infrastructure.
Cette affaire reflète également le défi permanent de trouver un équilibre entre sécurité et transparence. Les banques confirment rarement les cyberincidents immédiatement en raison de l’impact potentiel sur la confiance des marchés. Cependant, les affirmations publiques sur les sites de fuite peuvent rapidement forcer une réponse. Si le groupe Qilin publie davantage de données, les régulateurs et les organismes d’application de la loi pourraient intervenir pour coordonner une enquête transfrontalière.
Pour l’ensemble du secteur financier, l’incident est un autre rappel que la résilience opérationnelle ne dépend pas seulement des audits de conformité ou des certifications de cybersécurité standard. Les institutions sont invitées à adopter une surveillance en temps réel, à améliorer la détection des transferts de fichiers anormaux et à renforcer les contrôles d’accès internes. Des tests de sécurité réguliers, des programmes de sensibilisation du personnel et des audits externes sont également considérés comme essentiels.
L’affaire Habib Bank démontre que même les institutions financières établies de longue date sont vulnérables aux attaques de ransomware modernes. Si les affirmations s’avèrent exactes, l’exposition des données des clients et du code source pourrait avoir des conséquences à long terme pour la banque et ses clients. Alors que les enquêtes se poursuivent, l’incident s’ajoute aux preuves de plus en plus nombreuses que les ransomwares restent l’une des menaces les plus perturbatrices et les plus coûteuses pour le secteur bancaire mondial.