/news/currentevents

Des guichets vidés par des pirates informatiques

Jonathan Tremblay | Le Journal de Montréal

Cette succursale de Saint-Eustache a été touchée par la série de vols.

Photo Pierre-Paul Poulin

Cette succursale de Saint-Eustache a été touchée par la série de vols.

Des cracks informatiques ont piraté puis vidé en moins d’une minute au moins six guichets automatiques de la Banque Laurentienne au cours des dernières semaines dans la grande région de Montréal.   

Les suspects recherchés par les enquêteurs de la Sûreté du Québec (SQ) ont ainsi mis la main sur un butin de plusieurs centaines de milliers de dollars, a appris Le Journal.     

Selon nos informations, les voleurs auraient utilisé un appareil externe, soit un ordinateur portatif ou une tablette, afin de se connecter directement au guichet par la chute à billets des distributeurs.     

Une fois branchés et en contrôle de l’appareil, ils auraient raflé des montants variant entre 80 000 $ et 200 000 $ dans chacune des succursales visitées, nous a-t-on dit.     

Répété chaque fois dans les six établissements bancaires, le stratagème ne leur prenait pas plus d’une minute, selon nos sources.     

Loin des regards  

Ces larcins auraient tous été commis durant la fin de semaine, hors des heures d’ouverture, alors qu’il y a moins d’achalandage.     

Tous les vols répertoriés jusqu’à présent par les autorités sont survenus dans des succursales de la Banque Laurentienne situées à Montréal et sur la couronne nord, notamment à Saint-Jérôme, Terrebonne et Saint-Eustache.     

Ce sont les enquêteurs de la division des crimes majeurs de la SQ qui tentent de faire la lumière sur cette vague de vols.     

« L’enquête progresse bien dans cette affaire, a indiqué, hier, le sergent Marc Tessier. Tout ce que nous pouvons dire, c’est qu’il n’y a eu aucune perte financière pour les clients et qu’aucune donnée n’a été volée. »     

On ne serait pas en mesure d’identifier précisément pour l’instant le stratagème informatique utilisé par les pirates.     

Un guichet comme ceux qui se sont fait vider.

Photo Pierre-Paul Poulin

Un guichet comme ceux qui se sont fait vider.

Message d’erreur  

Toutefois, il aurait été possible de déterminer les heures durant lesquelles les vols ont été commis en raison d’un message d’erreur qui serait apparu sur les appareils après le passage des malfaiteurs.     

La Banque Laurentienne aurait déjà modifié tous ses guichets automatiques afin qu’une telle fraude ne se reproduise pas, a avancé la SQ.     

« Présentement, c’est sous enquête policière, donc vous comprendrez que je ne peux pas vraiment commenter », a répondu, hier soir, Hélène Soulard, porte-parole de la Laurentienne.     

– Avec la collaboration d’Antoine Lacroix  

« Il y a de sérieuses questions à se poser »  

Cette vague de vols de guichets automatiques soulève plusieurs questions concernant la sécurité des systèmes informatiques des institutions bancaires, aux yeux d’experts.     

« Je suis complètement flabergasté, lance Éric Lessard, consultant en sécurité informatique. C’est la première fois que j’entends parler de quelque chose comme ça, ici. C’est pas mal tight, d’habitude, la sécurité d’un guichet. »     

Ces délits surviennent moins d’un an après qu’ait été révélée au grand jour la plus grande fuite de données personnelles de l’histoire du Québec.     

« Fort inquiétant »  

En juin dernier, le Mouvement Desjardins avouait que près de trois millions de ses membres s’étaient fait dérober des informations sensibles. Il s’est avéré, plus tard, que la totalité de ceux-ci avait été affectée.     

« C’est fort inquiétant. Les gens sont préoccupés, continue M. Lessard. Il y a de sérieuses questions à se poser à propos de la sécurité des systèmes informatiques des institutions bancaires. Le gouvernement devrait en faire une priorité. »     

Tout comme pour Desjardins, il est possible que des employés de la Laurentienne soient à l’origine de ces vols. Toutes les possibilités sont sur la table, selon Steve Waterhouse, spécialiste en sécurité informatique.     

« Je ne suis pas prêt à dire que c’est quelqu’un de l’interne », souligne l’expert.      

Ils savaient ce qu’ils faisaient  

Seule certitude selon lui, les hackers qui ont effectué ces crimes aussi rapidement avaient une connaissance chirurgicale des guichets visés.     

« Il faut que ce soit des gens qui ont longuement étudié leur cible, explique M. Waterhouse. Et les institutions bancaires font trop confiance à leur fournisseur sans s’assurer de la sécurité des guichets. »     

« Quelle est la recherche effectuée sur les gens qui s’occupent des guichets et de leur maintenance ? Qu’est-ce que la banque fait pour sécuriser ses systèmes ? se demande Éric Lessard. Je ne peux pas dire que c’est extrêmement difficile, une fois branché. »     

« Les malfaiteurs savaient où était le port de service, et les guides d’instruction sont faciles à trouver en ligne. Si c’est réellement arrivé de cette façon, le système n’était pas fort », affirme de son côté Steve Waterhouse.     

« Avec un guide, n’importe quel “techno” peut faire ça. Mais tu ne devrais jamais être capable de te brancher directement. Il y a un manquement quelque part », conclut Éric Lessard.