SAN FRANCISCO | Une nouvelle révélation de piratage informatique, touchant cette fois rien de moins que le gendarme américain de la Bourse, attise les inquiétudes sur la sécurité informatique des institutions financières, quinze jours après la révélation d’un énorme piratage au sein d’une agence de crédit américaine.

La Commission des opérations en Bourse américaine (SEC) a annoncé mercredi soir qu’elle avait été victime de pirates informatiques en 2016 et que ceux-ci avaient pu en profiter pour réaliser des opérations financières illégales.

Signe inquiétant, le président de la SEC Jay Clayton a reconnu à cette occasion que « même les plus grands efforts en matière de cybersécurité ne peuvent faire face à tous les risques en la matière auxquels font face les entreprises ».

Selon lui, les attaques et « les tentatives d’intrusion sont permanentes et évoluent constamment, et dans certains cas ont réussi, même auprès d’institutions les plus solides et à la SEC elle-même ».

La SEC ne détaille pas de quelle manière les pirates ont pénétré son système, mais précise que l’attaque a visé sa banque de données EDGAR qui permet notamment aux entreprises cotées en Bourse de publier les informations légales sur leurs opérations financières.

Toutefois, l’institution assure que cette attaque n’a créé aucun « risque systémique » pour le fonctionnement des marchés financiers.

Cette annonce intervient deux semaines après la révélation par une agence de crédit américaine, Equifax, d’un gigantesque piratage de ses systèmes : les pirates ont pu accéder aux données personnelles de près de 143 millions d’Américains mais aussi des Britanniques et des Canadiens. Cette révélation a suscité une vague d’enquêtes policières, judiciaires et parlementaires.

Même si ces deux événements sont assez différents, ils sont susceptibles d’entamer la confiance placée dans les systèmes informatiques du secteur financier, explique le spécialiste en cybersécurité Johannes Ullrich, du SANS Internet Storm Center.

Ces systèmes « reposent sur la confiance, et si cette confiance est mise à mal, les gens pourraient choisir de ne plus s’en servir », explique M. Ullrich.

Pour autant, poursuit-il, même si les gens cessaient d’utiliser des systèmes en ligne, ils ne seraient pas à l’abri des pirates informatiques.

Par exemple, même « si vous ne voulez pas utiliser votre carte de crédit sur internet et préférez fournir le numéro par téléphone, la personne au bout du fil rentre ces informations dans le système » informatique, relève-t-il.

Systèmes gouvernementaux « à la traîne »

Johannes Ullrich estime aussi que le piratage de la SEC illustre la faiblesse de la sécurité informatique des réseaux gouvernementaux, qui s’était déjà manifestée en 2015 lorsque les autorités avaient révélé que les données de dizaines de milliers d’employés fédéraux avaient été piratées.

Selon lui, les systèmes gouvernementaux « sont vraiment à la traîne pour ce qui est de concevoir (...) une protection efficace » des données.

« Le piratage (de la SEC) lui-même semble de faible ampleur, mais il entame la confiance dans les institutions officielles auxquelles les entreprises doivent précisément communiquer des informations sensibles et confidentielles », souligne Tatu Ylönen, chercheur en informatique et fondateur du cabinet SSH Communications Security.

Il estime que les règles fédérales en matière de sécurité informatique « sont plutôt bonnes » mais « le problème, c’est que les agences qui sont censées les mettre en oeuvre le font à des rythmes différents, et certaines agences n’en ont pas fait une priorité ».

Les systèmes qui détiennent des informations de la plus haute importance « ne travaillent pas suffisamment à protéger les précieuses données » qu’ils stockent, abonde James Scott, également chercheur en cybersécurité, qui estime que cela ne touche pas que le secteur financier.

« Nous n’avons pas confiance dans les systèmes de vote électronique, nous n’avons pas confiance dans le système de santé pour protéger les dossiers médicaux, et maintenant, c’est au tour du secteur financier », résume-t-il.

Comme après chaque révélation de cyberattaque, difficile de déterminer qui est derrière, soulignent les experts, qui estiment que les responsables peuvent être des mercenaires ou des États.

Ce nouveau piratage ne surprend cependant pas Dan Guido, un autre expert en cybersécurité. « On continuera à tolérer ces attaques à répétition tant que cela ne menace pas la vie des citoyens », regrette-t-il.