Cyber-attaque ciblant la BRH : La technologie est une arme à double tranchant

By
Rezo Nodwes
-
0
2546

Gouvernance, no 2 

« Il n’est pas inconcevable que la prochaine crise financière soit déclenchée par une cyberattaque. » Ravi Menon ; Directeur général, Autorité monétaire de Singapour.

Le système informatique de la Banque de la République d’Haïti (BRH) dont la mission principale consiste à réguler le système financier du pays a été l’objet d’une cybercriminalité au milieu de ce mois de juin. Plusieurs études soutiennent que la technologie augmente la productivité, favorise des pratiques plus efficientes et de meilleurs profits au sein des entreprises (Keller, 2004 ; Easterly & Levine, 2001 ; Hall & Jones, 1999). En revanche, le récent incident de la BRH rappelle qu’une légèreté ou une manipulation maladroite des outils de la technologie est susceptible de provoquer des dommages aux répercussions sévères. L’avancement de la technologie et la mondialisation financière facilitent les transferts de fonds illégalement, c’est-à-dire le « blanchiment d’argent cybernétique » (Joveda, Khan & Pathak, 2019). Les scandales du Panama Papers peuvent en dire long (Réf. Lien 1). Sans conteste, le monde moderne – piloté par l’intelligence artificielle – est de plus en plus digitalisé au cours des dernières décennies (Acemoglu & Autor, 2011 ; Aghion et al., 2013). Les connexions magiques à travers les ondes magnétiques et scalaires sont téléguidées par des caractères à saisir sur un clavier d’ordinateur ou un cadran téléphonique. Tous, nous observons ou devinons avec justesse que le contrôle et l’harmonie des dynamiques du cosmos sont assurés à travers des combinaisons virtuelles ou tactiles de chiffres, de lettres et de symboles non alphanumériques. Il en résulte qu’un simple accent circonflexe ou un accent grave détiennent le pouvoir de causer de graves dangers au sein des systèmes cybernétiques. Des manœuvres digitales inappropriées auraient pu créer des « Millionnaires par erreur » et parallèlement de nouveaux pauvres spontanément dépouillés de leurs multi millions. Les codes secrets des espaces cybernétiques sont des instruments sensibles qu’il convient de confier à des gens vigilants et honnêtes.

Le crime cybernétique perpétré au système numérique de la BRH étale l’importance cruciale de mieux s’approprier les produits technologiques. Tandis que le plan stratégique 2024 de la BRH prône une banque centrale efficiente et à la pointe de la modernité, le piratage de codes secrets du cyberespace de la Banque des banques exposerait le péril et la fragilité de la gouvernance du système financier dont l’institution de la rue Pavée porte le chapeau de régulatrice. Dans un opportunisme sociétal normatif, cette pagaille technique est survenue pour nous alerter dans une large extrapolation politique sur la sensibilité des manettes stratégiques d’une société. À défaut de confier les positions régaliennes à la compétence et à la probité pour garantir le respect des normes et des institutions pour emprunter la voie du développement, tout système encourt le risque d’un chaos imminent (Acemoglu et Robinson, 2013).

Depuis ce choc encaissé au serveur électronique de la Banque centrale, le SPIH, le PRONAP et la Chambre de compensation sont autant de concepts vêtus d’une certaine technicité qui sont déposés sur les lèvres du commun des mortels bancarisés. Ces mécanismes interbancaires servant à assurer des transferts de fonds, effectuer des retraits et encaisser des chèques auraient été sabotés au niveau de leurs scripts. Soudain, des clients des banques commerciales devenaient dubitatifs quant à la sécurité de leurs épargnes cumulées dans l’amertume. Tout le monde en parle ; des journalistes jasent mais disposent de peu d’informations pour pouvoir décrypter les non-dits des représentants de la Banque centrale. D’autre part, la BRH a tenté de rassurer à travers un communiqué anodin qui confirmait davantage la faille du système (Réf. Lien 2). Par ce préjudice porté à la cybersécurité de la Banque des banques, le système archaïque qui règne au pays aurait connu une panique épouvantable.

Comme dans les coulisses d’un casino, de multiples opérations bancaires en Haïti représenteraient une boîte noire financière accessible exclusivement à un clan avide dans l’accumulation de l’argent illicite. Dieu merci, ce système est tout de même supervisé par des institutions internationales dont le Groupe d’action financière (GAFI) qui à travers son rôle de vigie essaie de casser le rythme des gabegies. Les doutes planés sur de potentiels arrêts de certaines transactions financières entre des institutions étrangères avec Haïti laissent insinuer que la supervision opérée par des instances de l’externe ne serait jamais suffisante pour faire échec aux extorsions concoctées dans les systèmes où domine la corruption. C’est à travers une volonté politique sincère et des mesures internes strictes que l’on stoppe convenablement de tels types d’hémorragie.

Évidemment, il y aurait un ensemble de forfaits financiers au sein du système bancaire haïtien relevés par le GAFI après leur mise en œuvre par les criminels financiers. Pour nous en convaincre, il suffit de se référer au scandale financier du Petrocaribe et surtout aux sanctions internationales qui épinglent une palanquée de leaders politiques et de contrebandiers économiques. N’est-ce-pas en raison des gaffes du système financier haïtien relatives au blanchiment de capitaux et au financement du terrorisme qu’Haïti se trouve sur la liste grise du GAFI (Réf. Lien 3) ?

Au lendemain de la cyber-attaque contre la Banque centrale, les rumeurs ont parcouru la rue et la toile pour conjecturer des pertes monétaires énormes de la régulatrice financière estimées à plusieurs dizaines de millions de dollars. En des échanges informels, la BRH aurait nié cette hypothèse d’une escroquerie de ses fonds. Cependant, puisqu’en des promesses fallacieuses et de faux « bonds » le Conseil actuel de la BRH habitue la société à des mensonges effrontés, le citoyen curieux ne peut se leurrer d’espérer arracher une parole sincère de la bouche de Baden. Plausiblement, ce serait aussi de bonne guerre afin d’éviter de furieuses exaspérations des clients des banques commerciales qui sont perplexes à propos de la sécurité de leurs épargnes.  

Infiltration, exfiltration, inadéquation, mais aucune démission ?

Que cette attaque provienne d’un logiciel malveillant de hackers d’un continent lointain infiltré au serveur de la BRH ou d’une conspiration de l’interne qui expose les données confidentielles du système, il s’avère qu’à une échelle de la gestion de la base des données des cadres auraient manqué à leurs services professionnels. Le premier des responsables de la faille du système comme dans toutes les structures hiérarchisées est incontestablement le président du Conseil. En effet, cette mésaventure de la BRH rappelle le cas insolite d’infiltration d’un malware dont la Banque centrale de Bengladesh a été l’objet en 2016. L’on ne sait si la BRH a encaissé des pertes de fonds, mais dans le cas de l’attaque en ligne au Dhaka qui visait initialement un braquage d’un milliard de dollars, 81 millions de dollars ont été escroqués par les hackers (Bukth T. & Huda S., 2017). Si le gouverneur de cette Banque centrale asiatique, Atiur Rahman, a été contraint à la démission, Jean Baden Dubois ne fait l’objet d’aucune menace pour jeter le tablier. Ainsi va Haïti ; le verbe démissionner n’appartient pas au champ lexical de nos dirigeants pour impotents ou incompétents qu’ils soient aux postes les plus décisifs.

Il existe une ample sensibilité des systèmes financiers par rapport aux informations qui y sont véhiculées. Ainsi, toute vérité ne serait pas bonne à dire, on concède. C’est vraisemblablement ce que murmurerait ce Conseil de la BRH inapte à affronter les défis financiers. À l’instar du scandale de la Banque centrale bangladaise, c’est probablement une fois de plus le NY Times qui vendra la mèche un mois ou deux mois plus tard. Il n’est que d’attendre. Pour le triomphe de l’objectivité, le sens du discernement ne saurait emboiter le pas en mentant par action ou par omission. Les esprits critiques sont constamment interpellés à utiliser l’arme de la dialectique et la maïeutique pour forcer d’accoucher la vérité. Car, « la vérité nous affranchira ». À défaut de disposer de source fiable pour fournir des réponses cohérentes relatives à cet incident, certaines interrogations s’imposent, quitte à permettre d’établir plus tard la véracité des faits.

Ce scandale numérique à la BRH dérive-t-il d’un crime en provenance de pirates inconnus ou d’un braquage au profit de certains mafieux locaux qui auraient accédé à des clés sensibles du système ? Serait-ce une panique due à une manipulation maladroite ou volontaire par les détenteurs des codes secrets du système de la BRH ? Hormis ceux dans le secret des coffres-forts, personne ne connaît la véritable nature du problème ainsi que les conséquences y afférentes. Par incompétence ou par cupidité, il y a des risques de pénétration des systèmes informatiques, d’altération de données numériques ou de piratage de réseaux électroniques auxquels sont exposés les systèmes informatiques. En conséquence, la gouvernance de tels systèmes délicats ne doit point être confiée à des incompétents, à des mafieux ou à des cupides.

Face à cette fuite massive de cerveaux qui hypothèque la compétitivité du capital humain du pays dont la BRH est également une victime directe, la remédiation soutenable aux potentiels catastrophes technologiques semble exiger des mesures spécifiques. Disparte & Furlow (2017) argumentent que les principales sources de menaces cybernétiques ne sont pas technologiques. Ces menaces sont plutôt répertoriées au niveau du cerveau humain, sous forme de curiosité, d’ignorance et d’apathie. Ces formes humaines de logiciels malveillants plausiblement présentes dans tout type d’institution sont tout aussi dangereuses que les menaces véhiculées par des codes malveillants. Disposer de ressources humaines compétentes et intègres dans le montage des systèmes sophistiqués est le seul paradigme qui nous met en repos.

Cette catastrophe survenue au système bancaire haïtien évoque dans une désagréable réminiscence la fuite des diplômés du MBDS et de CISCO produits par la Faculté des Sciences (FDS) à l’aube des années 2000. La prédominance de l’Intelligence artificielle dans le mode de vie moderne impose l’immense besoin de distribuer de telles compétences au sein du secteur privé et surtout au niveau de l’Administration publique. Malheureusement, cette niche de savoir spécialisé aiguisé à la FDS dans les domaines des réseaux informatiques et des bases de données semble être mobilisée à d’autres pays. Depuis plusieurs décennies, Haïti réitère les mêmes bêtises d’une répulsion de ses ressources précieuses que des pays concurrents s’attèlent de préférence à diamantiser pour assurer leurs succès.

Alors que le développement d’une société repose sur la maîtrise des outils de la technologie et de l’innovation, Haïti a formé des cadres dans divers champs qu’elle offre « gracieusement » à des pays occidentaux. Contrairement au PMA, les sociétés avancées sont convaincues du rôle crucial du capital humain dans le développement. En vue de concrétiser le rêve de la prospérité partagée, les sociétés caractérisées par une gouvernance avisée s’adossent à l’objectif infrangible de se doter d’un pool de ressources humaines compétentes et diversifiées (Kapur & Mchale, 2005). En expulsant ses jeunes vers d’autres cieux, Haïti joue un jeu anti-modernité.

Profitant du contexte regrettable qui braque le projecteur sur la Banque centrale, il est également question de s’interroger sur le devenir des lauréats de l’Université d’État parrainés par cette Banque centrale nécessiteuse de ressources humaines compétitives. Incontestablement, une réponse exacte requiert une enquête ou un inventaire exhaustif. Par contre, même un regard évasif permet d’identifier qu’un nombre important de ces cadres résident au Canada et aux USA. Certes, le contexte sociétal maussade compte pour beaucoup dans cette perte critique de la matière grise haïtienne. Cependant, on ne saurait manquer de souligner l’absence d’incitatifs et un imminent problème de mis-management des éminentes ressources humaines qui sont les empreintes de cette Banque centrale qui s’éloigne de la vision élitiste de Lesly Delatour.

Si les haut-cadres de la bureaucratie jouissent d’un ensemble de facilités telles que des rémunérations alléchantes, des privilèges immobiliers et des prêts préférentiels, les cadres moyens qui devaient constituer la base scientifique de la technocratie de la Banque sont refusés l’accès à des privilèges qui tendraient à les fidéliser. Puisque les derniers Conseils de la Banque font montre d’une panne de vision, les meilleurs professionnels dotés de solides expériences académiques sont coincés particulièrement dans un chômage d’inadéquation. In fine, ce n’est pas une surprise qu’ils se jettent à d’autres espaces géographiques qui accueillent la recherche et l’innovation à bras ouverts. Tout être rationnel est en quête de la valorisation et la rentabilisation de ses compétences.

Du temps de mes études de licence au CTPEA, la BRH résonnait comme une institution prestigieuse, sacrée. À force de faillir à son rôle de faire taire les désordres financiers, l’image de la Banque centrale s’est drastiquement effritée à travers le temps. Jamais une Banque centrale n’ait été autant décriée. Pourtant, malgré tous les scandales et les inefficiences, le même Conseil continue de s’asseoir confortablement sur les fauteuils régaliens, sans aucun scrupule.

De fameuses escroqueries en ligne

Sur un angle général, les cyberattaques aux lourdes conséquences et aux coûts énormes ne sont pas des évènements singuliers. L’histoire regorge d’une variété de malwares et de ransomwares conçus pour infecter des systèmes d’opération des computers et des dispositifs électroniques (ZahraChishti, 2019). Par exemple, en 2017, Equifax a subi une cyber-violation qui lui a coûté 1,4 milliard de dollars. Les cybercriminels avaient saccagé cette agence réputée dans l’évaluation du crédit en exfiltrant des données personnelles de plus de 150 millions d’utilisateurs Américains. La géante entreprise Home Depot a été en 2014 la cible d’une attaque de ravisseurs en ligne qui a causé à cette compagnie une perte estimée à 179 millions de dollars. Des informations confidentielles de 56 millions de clients Canadiens et Américains se trouvaient à la disposition des hackers. Au coût de 10 milliards de dollars, NotPetya est une autre importante cyberattaque de l’histoire des crimes en ligne. Ce crime cybernétique perpétré en Ukraine et avait affecté un demi-million de computers (Maschmeyer, 2021).

C’est depuis le début de la transition des intenses échanges via l’internet que les criminels en ligne étaient à l’affût pour extraire des données de connexion bancaire d’utilisateurs du monde entier, particulièrement aux États-Unis. En 2000, le logiciel malveillant ILOVEYOU a été introduit dans des computers à partir des emails personnels. Cette attaque a causé des dommages considérables à des entreprises qui ont été estimés entre 6 à 10 milliards de dollars (Noor, 2011). Causant des perturbations généralisées et des dommages estimés à 38 milliards de dollars, le cyber-bogue MyDoom a été introduit en 2004 pour se répandre par le biais de courriels électroniques. Les criminels à l’origine de ce virus avaient extorqué autour de 3 milliards de dollars sur les comptes des victimes. En 2008, le virus Conficker avait profité d’une faille dans l’exécution automatique des périphériques de stockage de Windows. Les estimations font état de dix millions d’ordinateurs qui ont été contaminés par ce malware. Des agences stratégiques ont été également attaqués par ce ver. C’est le cas du Pentagone, du ministère de la Défense britannique et du ministère de la Défense français. Microsoft avait offert une prime d’un quart d’un million de dollars pour retrouver le concepteur de ce virus (Réf. Lien 4). En 2009, le Cyber Secure Institute a estimé le coût économique de cette anarque à 9.1 milliards de dollars (Lien 5).

La littérature sur la cybercriminalité révèle que les cyberattaques contre les banques centrales ne sont pas légion. Au vu des 81 millions de dollars ravis à la Banque centrale de Bengladesh par des arnaqueurs qui demeurent jusqu’à présent inconnus, ce crime cybernétique visant une banque centrale est considéré comme la plus importante. D’ailleurs, n’était une faute de frappe des arnaqueurs, ladite escroquerie coûterait un milliard de dollars à la Banque centrale de Bengladesh. Si les cyberattaques sur les banques centrales paraissent insolites, un survol sur des malwares et des ransomwares nous permet de répertorier de nombreuses mésaventures technologiques aux dégâts majeurs pour plusieurs compagnies. Les expériences amères devraient-elles nous pousser à échapper à la technologie ou procéder à une combinaison entre des pratiques modernes et archaïques pour éviter sinon minimiser les dégâts ? Malheureusement, la modernité n’accorde pas cette option d’une cohabitation malsaine du millénium avec le moyen-âge. Tous, nous sommes contraints d’embarquer dans le train de l’intelligence artificielle qui est évidemment une arme à double tranchant. L’essentiel consiste à être proactifs et vigilants afin de contrecarrer les menaces et tirer son épingle du jeu.   

Haïti, toujours une cohabitation entre archaïsme et modernité

Alors que l’usage efficace des moyens technologiques devait faciliter les transactions et assurer la confiance entre les agents économiques, la perte du contrôle des outils technologiques justifie que tout un écosystème peut être mis à genoux dans un battement de l’œil. Il y a des pirates de la Caraïbe qui ont créé une panique chez un Gouverneur impotent qui s’empressait de réunir des banquiers, ambassadeurs, ministres et représentants des institutions multilatérales pour réfléchir et éviter un crash systémique. La reprise des activités du SPIH après environ deux semaines témoigne de l’ampleur de l’incident. Sans y percevoir une vertu, mais c’est en raison du rachitisme et de l’archaïsme de l’économie haïtienne qu’un effet désastreux (effet domino) ne se produise pas suite à ce blocage spontané du système électronique du système bancaire.

Cette mésaventure illustre une fois de plus qu’un blackout d’une semaine ou d’un mois ne dérangerait pas en Haïti. Il n’y aurait aucun problème qu’une brouette transportant des pieds de cochons et des trippes de cabris tutoie et klaxonne une luxueuse Rolls-Royce sur la même autoroute. La société ne percevrait point d’embarras dans l’obstruction des artères économiques de plusieurs zones géographiques par des gangs bien connus. D’ailleurs, les bandits notoires sont parrainés par des personnalités de la classe politique répugnante et de l’élite économique crasseuse. On a l’impression que la précarité aurait le cachet de pouvoir développer de la résilience dans l’invivable.  Pourtant, on ne saurait imaginer une coupure d’électricité dans les sociétés modernes même pendant quelques minutes sans que des dégâts socioéconomiques majeurs n’y soient enregistrés. Le 4 octobre 2021, une panne de Facebook pendant quelques heures rendant inaccessibles les services de WhatsApp, Instagram et Messenger a coûté à Zuckerberg 6 milliards de dollars. Bizarrement, nous vivons en Haïti le mauvais courant de nous étonner quand l’électricité nous tient compagnie pour deux heures d’affilé. Grave.  

J’imagine les répercussions néfastes sur le plan financier et économique si le cyberespace de la Banque centrale des États-Unis ou celui de la Banque centrale de France étaient aux prises à un piratage. Pour effectuer leurs transactions, les agents économiques de ces sociétés n’utilisent pas véritablement de la monnaie imprimée. On ne se passe pas des billets d’une main à l’autre. Les cartes de crédits et de débits sont les moyens par lesquels les échanges de biens et services sont réalisés dans ces économies. Les utilisateurs seraient ainsi pris dans un échec et mat s’ils devaient être contraints de ne pas utiliser leurs cartes même pour un laps de temps. La chute d’une seule banque commerciale, dépendant de son poids dans les interconnexions du système financier, serait susceptible de créer un effet domino. D’où la théorie du « Too big to fail » développée aux USA au cours de la crise du subprime en 2008 pour empêcher une faillite systémique.

On est tous perplexes et curieux à déceler la vérité quant à de potentiels préjudices financiers de ce piratage qui visait la Banque centrale. Secret d’État oblige, la vérité ne verra pas le jour dans ce contexte ténébreux. Au cours de la dernière décennie, on entendait des diplomates qui vendaient des passeports, des directeurs généraux dans le trafic de visas, des ministres impliqués dans des crimes financiers. Une kyrielle de faits et d’anecdotes suggèrent que la plupart des dirigeants haïtiens de la récente décennie n’ont aucun sens de l’État et du service public. Ce sont plutôt des assoiffés de l’argent facile ouverts à tous les mauvais deals. Ils mentent comme ils respirent.

À un moment, si des gouvernements pensaient à moderniser les services de l’Administration publique à travers l’e-gouvernance, les scandales financiers font planer le doute que c’était pour en soutirer de l’argent électroniquement et assurer le blanchiment cybernétique via des transferts vers des paradis fiscaux. Dieu seul sait combien de protocoles de cybersécurité que ces dilapidateurs des fonds publics ont violés pour s’enrichir illicitement à travers des vols cybernétiques. La technologie au service d’un groupuscule peut être catastrophique pour une société. Tout porte à croire qu’Haïti a été gravement victime de la facilité avec laquelle la technologie avait aidé de transférer les ressources du trésor public vers des banques en Floride, au Canada, en République dominicaine.    

Définitivement, qu’il soit sur le plan politique, diplomatique, économique ou technologique, Haïti n’est-elle pas en train de payer au prix fort la bêtise monumentale de confier ses axes stratégiques à tout venant et tout revenant ? Les propriétés de la technologie ont la vertu d’améliorer l’efficience en accusant des résultats 400% plus performants. Parallèlement, l’erreur de confier les boutons politiques et technologiques à des flibustiers sans foi ni loi est susceptible d’accélérer le navire national 400% plus vite vers la descente aux enfers.

Bibliographie

  1. Acemoglu D. and Autor D. (2011), “Skills, Tasks and Technologies: Implications for Employment and Earnings”, in Handbook of Labor Economics, Vol. 4, Elsevier.
  2. Acemoglu Daron et Robinson James (2013). « Why Nations Fail » : l’origine du pouvoir, de la prospérité et de la pauvreté. Crown Publishers, Inc., New York.
  3. Aghion P. et al. (2013), “Innovation and Institutional Ownership” American Economic Review. Vol 103, no 1.
  4. Noor Elina (2011). The Problem with Cyber Terrorism, SEARCCT’s Selection of Articles, Vol. 2/2011, pp. 51-63.
  5. Primoff W. & Kess S. (2017). “The Equifax ata breach: What CPAS and firms need to know now,” CPA J., vol. 87, no. 12, pp. 14–17.
  6. Kapur Devesh & Mchale John (2005), “Give Us Your Best and Brightest: The Global Hunt for Talent and Its Impact on the Developing World”, Center for Global Development.
  7. Zahra S. R. & Chishti M. A. (2019). RansomWare and Internet of Things: A New Security Nightmare. IEEE , Conference Paper.
  8. Maschmeyer Lennart (2021). The Subversive Trilemma: Why Cyber Operations Fall Short of Expectations. International Security (2021) 46 (2): 51–90. Volume 46, Issue 2
  9. Joveda N. , Khan T. & Pathak A. (2019). “Cyber Laundering: A Threat to Banking Industries in Bangladesh: In Quest of Effective Legal Framework and Cyber Security of Financial Information”. International Journal of Economics and Finance; Vol. 11, No. 10
  10. Bukth T. & Huda S. (2017). “The Soft Threat: The Story of the Bangladesh Bank Reserve Heist”.  SAGE Publications: SAGE Business Cases Originals
  11. Disparte D. & Furlow C. (2017). « The Best Cybersecurity Investment You Can Make Is Better Training”. Harvard Business Review
  12. Keller Wolfgang (2004). « International Technology Diffusion ».  Journal of Economic Literature. Vol. 42, No. 3, (pp. 752-782).
  13. Hall R.E., & Jones C.I. (1999).”Why do some countries produce so much more output per worker than others?”. Q. J. Econ., 114 (1) , pp. 83-116
  14. Easterly W. & Ross Levine R. (2001). “What have we learned from a decade of empirical research on growth? It’s Not Factor Accumulation: Stylized Facts and Growth Models”. The World Bank Economic Review, Volume 15, Issue 2.

Liens

  1. https://www.alterpresse.org/spip.php?article20065
  2. https://www.fatf-gafi.org/fr/publications/Juridictions-haut-risques-et-sous-surveillance/Surveillance-renforcee-juin-2022.html
  3. https://www.brh.ht/wp-content/uploads/BRH_juin2023.pdf
  4. https://www.lefigaro.fr/secteur/high-tech/2009/02/13/32001-20090213ARTFIG00534-microsoft-met-la-tete-d-un-createur-de-virus-a-prix-.php
  5. https://www.zdnet.com/article/confickers-estimated-economic-cost-9-1-billion/

Carly Dollin

carlydollin@gmail.com

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.