Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    404
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 404
    Points : 13 896
    Points
    13 896

    Par défaut Le responsable de logiciel d'une banque chinoise emprisonné pour avoir trouvé le moyen de retirer 1 million $

    Le responsable de logiciel d'une banque chinoise emprisonné après avoir trouvé le moyen de retirer 1 million $ US « gratuits »
    Aux distributeurs

    Qin Qisheng, le programmeur en chef d'une banque chinoise a été condamné en décembre dernier à une peine de 10 ans et demi pour avoir mis au point un moyen de retirer plus d'un million de dollars US en espèces « gratuits » aux guichets automatiques. Le développeur de 43 ans, ancien directeur du centre de développement technologique de la Huaxia Bank à Pékin, a découvert une faille dans le système d'exploitation central de la banque, qui ne permettait pas l’enregistrement des retraits d'espèces effectués vers minuit.

    Selon le développeur, son action avait simplement pour but d’essayer de tester la sécurité interne de la banque et que l'argent qu'il a retiré reposait simplement sur son propre compte avant qu'il ne le rende à ses employeurs. La banque (son employeur) avait accepté son explication, par contre les autorités n'ont pas accepté cette explication et ont confirmé la condamnation de Qin pour vol lors d’un dernier appel en décembre dernier, selon un article de South China Morning Post.

    Nom : Qin.jpg
Affichages : 4199
Taille : 17,6 Ko

    Les vols dans les établissements bancaires sont souvent dus aux vulnérabilités dans leurs logiciels de base. Une erreur de frappe dans une instruction de virement bancaire a permis d’arrêter le vol de près d’un milliard de dollars d’une banque au mois de février 2016. Les responsables de la banque affirmaient que les pirates ont tout de même réussi à voler plus de 80 millions de dollars avant de se voir faire stopper leur manœuvre. Les attaquants ont exploité une faille du logiciel de messagerie de SWIFT de la Banque centrale du Bangladesh pour dissimuler leur forfait.

    Les investigations menées par BAE Systems et SWIFT suite au vol sans précédent de la banque centrale du Bangladesh ont pu démontrer que le système financier est plus vulnérable qu’il ne l’a jamais été, à cause d’une faille du logiciel de SWIFT installé sur le serveur des banques que les attaquants ont réussi à exploiter. Le logiciel en question installé sur les serveurs des banques est Alliance Access, un logiciel utilisé pour interfacer la plateforme de messagerie de SWIFT. Les attaquants auraient réussi à trafiquer ce logiciel de sorte à dissimuler les trafics frauduleux qu’ils ont effectués.

    Après le succès du premier vol, le réseau de SWIFT a été à nouveau utilisé pour détourner des fonds de plusieurs banques à partir de juin 2016. « Les systèmes de plusieurs clients ont été compromis et de nouvelles tentatives de virements frauduleux ont été détectées. La menace est persistante, adaptative et sophistiquée », avaient affirmé les responsables de SWIFT dans une lettre adressée aux membres de leur réseau, dont Reuters a obtenu une copie. Le réseau cherchait à contraindre ses membres à améliorer leur sécurité.

    En revenant à notre actualité, selon South China Morning Post, c’est en 2016 que la faille a été découverte par Qin et pendant le mois de novembre de la même année, il a inséré quelques scripts dans le système bancaire qui lui permettraient de tester la faille sans déclencher d'alerte, selon les déclarations du programmeur. Il a ensuite utilisé un compte fictif dont se sert la banque pour ses tests des systèmes pour retirer entre 5 000 et 20 000 yuan (entre 740 et 2 965 dollars américains) en liquide, pendant plus un an. Jusqu’en janvier 2018, le développeur avait amassé plus de sept millions de yuans (un peu plus d'un million de dollars américains), qu’il avait déposé sur son compte et une partie a été investie sur le marché boursier, et tout ceci à l’insu de ses supérieurs.

    Lors d’un contrôle manuel dans la filiale de Cangzhou dans la province de Hebei en janvier 2018, l'activité irrégulière de Qin qui profitait de la faille de sécurité dans le système d’exploitation central de la banque a été détectée et la banque a signalé l'incident aux autorités compétentes.

    La banque Huaxia a déclaré que Qin aurait dû signaler ces activités, et que ce qu'il a fait était une violation de ses procédures formelles, selon les documents du tribunal. Malgré cela, la banque avait également déclaré qu'elle avait accepté que le programmeur en chef ait essayé d'enquêter sur la faille et elle avait déposé une demande pour que la police abandonne l'affaire après qu'il ait rendu l'argent. Toutefois, Qin a été arrêté par la police en mars 2018 et le tribunal de district de Chaoyang l'a reconnu coupable de vol en décembre et l'a condamné à 10 ans et demi de prison avec une amende de 11 000 yuan.

    Nom : Hua.jpg
Affichages : 3887
Taille : 30,5 Ko

    Huaxia Bank, qui n’était pour l’arrestation de Qin, a admis qu'une enquête officielle sur la vulnérabilité aurait été difficile et laborieuse à mener et aurait fait intervenir des parties externes, de sorte que le test de Qin aurait peut-être permis à la banque d'économiser du temps et de l’argent. « Qin Qisheng a dit que l'affaire était compliquée et impliquait beaucoup de travail... il croyait que la banque ne ferait pas attention même s'il le signalait », a déclaré un représentant de la banque lors du procès, d’après le rapport de South China Morning Post. Il a ensuite ajoute que « Nous pensons que cette raison de ne pas signaler un cas est légitime ».

    « Le système de base de Huaxia Bank a été acheté à un fournisseur étranger, il a été conçu sans tenir compte du problème du commerce de nuit », a déclaré Qin lors de son procès en décembre. « En général, le client ne devrait pas se présenter à la banque, donc nous n'avons pas été informés de cette situation. Le problème était bien là, la banque n'a pas trouvé la raison. », a-t-il ajouté. Le programmeur a rendu tout l’argent à son employeur avant son interpellation et la banque Huaxia, une entreprise cotée en bourse fondée en 1992, a déclaré au tribunal qu'elle avait maintenant réglé le problème.

    Cependant, le tribunal de district a déclaré que même si Qin a rendu tout l'argent à la banque avant son arrestation, ce n'était pas une raison suffisante pour l'épargner. Le tribunal s’est opposé à la demande de la banque Huaxia de gracier Qin. Selon le tribunal, la demande n'était pas légitime. « D'une part, la banque a dit que le comportement de l'accusé contrevenait aux règles. D'un autre côté, elle a dit qu'il pouvait effectuer des tests pertinents. C'est contradictoire », a déclaré le juge.

    Après le procès qui l’a condamné, Qin a interjeté un appel, arguant qu'il ne méritait pas une peine aussi sévère. Toutefois, lors de la séance de l’appel, le tribunal populaire intermédiaire de Pékin à confirmé le verdict de 10 ans et demi de prison. « Après avoir examiné les documents, parlé à l'appelant et écouté les opinions des défenseurs, nous avons cru que les faits de l'affaire étaient clairs et nous avons décidé de ne plus avoir de procès », a déclaré la cour avant d’ajouté que « L'affaire est close. »

    Source : South China Morning Post

    Et vous ?

    Que vous inspire cette affaire?
    La banque pense que la raison du programmeur en chef de ne pas signaler la vulnérabilité et les tests qu’il a eu à conduire est légitime. Qu’en pensez-vous ?

    Lire aussi

    Oracle corrige une faille de sécurité qui affecte ses terminaux de paiement micros, 300 000 systèmes concernés
    USA : le FBI prend le contrôle d'un serveur clé du Kremlin,qui aurait été utilisé pour pirater plus de 500 000 routeurs
    USA : le FBI publie une méthode pour contrecarrer le maliciel « VPN Filter », qui aurait été utilisé pour pirater plus de 500 000 routeurs
    Vol de la Banque centrale du Bangladesh : les attaquants ont exploité une faille du logiciel de messagerie de SWIFT, pour dissimuler leur forfait
    SWIFT à nouveau utilisé pour détourner des fonds de plusieurs banques, le réseau veut contraindre ses membres à améliorer leur sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    947
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 947
    Points : 3 282
    Points
    3 282

    Par défaut

    La vache 10 ans et demi de prison ! Ca ne plaisante pas en Chine. Je me demande combien risque Carlos Ghosn au Japon...

    Sinon je veux bien que la faille soit complexe, mais Qin aurait du se signaler plus tôt. Ce serait plus crédible.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Expert éminent sénior
    Profil pro
    Inscrit en
    décembre 2007
    Messages
    5 585
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : décembre 2007
    Messages : 5 585
    Points : 25 178
    Points
    25 178

    Par défaut

    Y'en a eu une en France, il y a des décennies(je ne serais pas plus précis pour des raisons évidentes). Elle a juste du démissionner et promettre de fermer sa gueule. La peur du scandale a dépassé l'envie de se venger, à l'époque.
    Les 4 règles d'airain du développement informatique sont, d'après Michael C. Kasten :
    1)on ne peut pas établir un chiffrage tant qu'on a pas finalisé la conception
    2)on ne peut pas finaliser la conception tant qu'on a pas complètement compris toutes les exigences
    3)le temps de comprendre toutes les exigences, le projet est terminé
    4)le temps de terminer le projet, les exigences ont changé
    Et le serment de non-allégiance :
    Je promets de n’exclure aucune idée sur la base de sa source mais de donner toute la considération nécessaire aux idées de toutes les écoles ou lignes de pensées afin de trouver celle qui est la mieux adaptée à une situation donnée.

  4. #4
    Membre éclairé
    Avatar de yoyo3d
    Homme Profil pro
    Administratif
    Inscrit en
    avril 2002
    Messages
    325
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Charente Maritime (Poitou Charente)

    Informations professionnelles :
    Activité : Administratif
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : avril 2002
    Messages : 325
    Points : 750
    Points
    750

    Par défaut

    Malgré cela, la banque avait également déclaré qu'elle avait accepté que le programmeur en chef ait essayé d'enquêter sur la faille et elle avait déposé une demande pour que la police abandonne l'affaire après qu'il ait rendu l'argent.
    c'est nouveau ça, si les braqueurs rendent l'argent , la banque ne les poursuit pas....

    'faut que j'essaye... si je ne suis pas pris, c'est tout benef et je continue, si je me fais gauler, je fais mes excuses, j'explique que c'était pour tester la sécurité, "j'essaye" de rendre le fric (si je n'ai pas tout dépenser)....

    ha, on me dit dans l'oreillette qu'un compli... pardon qu'un collaborateur aurait intérêt à demander l'arrêt des poursuites par ce que "bon, finalement, ce n'est pas si grave"....
    Salut à tous et merci @# yoyo3d

  5. #5
    Membre éclairé
    Inscrit en
    janvier 2006
    Messages
    305
    Détails du profil
    Informations forums :
    Inscription : janvier 2006
    Messages : 305
    Points : 787
    Points
    787

    Par défaut

    Citation Envoyé par el_slapper Voir le message
    Y'en a eu une en France, il y a des décennies(je ne serais pas plus précis pour des raisons évidentes). Elle a juste du démissionner et promettre de fermer sa gueule. La peur du scandale a dépassé l'envie de se venger, à l'époque.
    Oui, il y a bien eu des cas en France où des personnes signalant une faille de sécurité se retrouvent attaquées par ceux qu'ils ont voulu aider (même s'ils n'ont jamais tenté d'exploiter la faille)
    En plus, en France les banques ont intérêt à ce que le système ait des failles: ça permet de vendre des assurances dans le package lié au compte courant, lesquelles assurances ne couvrent en réalité que la franchise que la banque a le droit de facturer (puisqu'en principe elles ont l'obligation de rembourser)

  6. #6
    Expert éminent sénior
    Profil pro
    Inscrit en
    décembre 2007
    Messages
    5 585
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : décembre 2007
    Messages : 5 585
    Points : 25 178
    Points
    25 178

    Par défaut

    Citation Envoyé par esperanto Voir le message
    Oui, il y a bien eu des cas en France où des personnes signalant une faille de sécurité se retrouvent attaquées par ceux qu'ils ont voulu aider (même s'ils n'ont jamais tenté d'exploiter la faille)
    C'était des externes, pas des gens à l'intérieur. La différence de traitement est flagrante.

    Citation Envoyé par esperanto Voir le message
    En plus, en France les banques ont intérêt à ce que le système ait des failles: ça permet de vendre des assurances dans le package lié au compte courant, lesquelles assurances ne couvrent en réalité que la franchise que la banque a le droit de facturer (puisqu'en principe elles ont l'obligation de rembourser)
    Euh, non. J'ai assez fréquenté les banquiers pour savoir qu'ils ne raisonnent pas comme ça. Vendre des assurances inutiles sous des prétextes fumeux, oui, c'est bien leur style. Laisser volontairement une faille connue? Plutôt crever. Non, les failles sont de vraies failles que personne n'a détecté. Jusqu'au jour ou..... Mais aucune exploitation de faille n'est volontaire du coté des banquiers, ils ont une trouille bleue de la faille, fort compréhensible, d'ailleurs.
    Les 4 règles d'airain du développement informatique sont, d'après Michael C. Kasten :
    1)on ne peut pas établir un chiffrage tant qu'on a pas finalisé la conception
    2)on ne peut pas finaliser la conception tant qu'on a pas complètement compris toutes les exigences
    3)le temps de comprendre toutes les exigences, le projet est terminé
    4)le temps de terminer le projet, les exigences ont changé
    Et le serment de non-allégiance :
    Je promets de n’exclure aucune idée sur la base de sa source mais de donner toute la considération nécessaire aux idées de toutes les écoles ou lignes de pensées afin de trouver celle qui est la mieux adaptée à une situation donnée.

  7. #7
    Membre éclairé
    Inscrit en
    janvier 2006
    Messages
    305
    Détails du profil
    Informations forums :
    Inscription : janvier 2006
    Messages : 305
    Points : 787
    Points
    787

    Par défaut

    Citation Envoyé par el_slapper Voir le message
    Laisser volontairement une faille connue? Plutôt crever.
    Mais oui bien sûr, ça explique pourquoi ils sont si pressés d'imposer à tout le monde le paiement sans contact, dont on sait très bien que le danger vient moins des commerçants que du gars qui est à côté de toi dans le train avec un lecteur à distance.
    Et bien sûr la limite à 20€ par transaction est là pour prouver qu'il n'y a aucune faille...

Discussions similaires

  1. Réponses: 18
    Dernier message: 29/10/2018, 09h22
  2. Réponses: 6
    Dernier message: 23/09/2018, 10h18
  3. Réponses: 42
    Dernier message: 01/11/2017, 00h43
  4. Devoir faire tourner une macro 2 fois pour avoir le résultat attendu
    Par marionb dans le forum Macros et VBA Excel
    Réponses: 1
    Dernier message: 27/05/2010, 13h30
  5. Réponses: 2
    Dernier message: 26/03/2009, 15h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo