Un immense scandale financier secoue en ce moment la Biao-Ci, filiale du groupe d'assurance Nsia. L'affaire, comme il est de coutume dans le monde très fermé des banques, est traitée avec la plus grande discrétion au sommet de la banque qui se veut à capitaux entièrement ivoiriens. Petite incursion dans un scandale à forte dose de complicités internes.
Au commencement était un ordinateur portable
Le 20 septembre 2010, un agent de la banque trouve un ordinateur portable qui n'appartient pas au réseau informatique de la Biao-Ci. (En réalité, selon nos sources, cet ordinateur avait été trouvé depuis le 17 septembre mais la direction du contrôle et de l'audit informatique n'a été informée que le 20 septembre). L'agent remet donc l'ordinateur à son chef hiérarchique direct, lequel sans informer le Service d'audit informatique interne de la banque, transmet l'ordinateur au directeur des Systèmes d'information de la banque, M. Jean Jacques Ndocho. Ce dernier à son tour, sans prendre attache avec les auditeurs informatiques comme l'exige la procédure, manipule l'ordinateur, avant d'aller s'entretenir avec le directeur général de la banque, M. Djedjes Essoh Martin. Après cette rencontre, il transmet enfin l'ordinateur suspect à la Direction de contrôle et audit informatique, avec cette mention rédigée par ses soins et contenue dans un document intitulé " Déclaration d'incident à la Direction des systèmes d'information ", daté du 20 septembre 2010 à 15 H 40 minutes : " un ordinateur portable muni d'une clé Internet MTN dont le numéro est 21012631 était connecté à notre réseau local par le biais du coffret de brassage sis à l'ancienne agence Anoma. Cet ordinateur portable avait été configuré avec les paramètres du PC de travail du directeur des Systèmes d'information (Ndlr lui-même). Les fraudeurs tentaient de se connecter au serveur Orion par ce canal en se faisant passer pour le DSI. Fort heureusement, ces paramètres étaient obsolètes. Avec la clé MTN, il est possible de remonter la piste pour savoir celui qui l'a achetée. ", conclut-il. En clair, selon M. Jean Jacques Ndocho, l'ordinateur portable retrouvé avait des paramètres qui ne pouvaient absolument pas permettre de pirater le système informatique de la banque. Conclusion : Pour lui, le système n'a pas été piraté. Et la piste de la clé MTN (laissée comme hasard par les pirates), suggérée à l'auditeur, avait un but précis. Mettre fin à la recherche d'une autre piste. Mais l'auditeur ne veut pas se contenter de cette conclusion plutôt hâtive. Il décide de faire des vérifications différentes de celle de M. Jean Jacques Ndocho. Il se rend donc dans la salle où se trouve le coffret abritant la machine qui contrôle tout le système informatique (salle Pme…) et tombe des nues en découvrant que cette salle, non seulement n'est pas fermée à clé, mais en plus, le coffret abritant la machine n'est pas également fermée à clé. Et chose encore plus grave tout le monde peut avoir accès à cette salle, y compris les vigiles de la banque. En réalité, cette machine n'est ni protégée du point de vue " logique " ni du point de vue " physique ". Cela avait-il été fait à dessein pour permettre la réalisation de ce qui va suivre ?
Le système informatique de la banque piraté
En poursuivant ses investigations, l'auditeur découvre que l'ordinateur portable trouvé dans l'entreprise avait servi à pirater le système informatique de la banque. Et à travers le navigateur Web Firefox installé sur cet ordinateur portable, il parvient à saisir les URL (Uniform Resource Locator ou localisateur uniforme de ressources), utilisés par les pirates pour s'introduire dans le réseau de la banque. http://10.102.255.1.8080/orion.exe/orion?config=biaoprod. Cette adresse, selon le rapport d'audit que nous avons feuilleté silencieusement, a permis aux pirates d'accéder à " la page d'accès au système d'information bancaire de la Biao-Ci ", c'est-à-dire, à l'applicatif Orion. Une fois cela fait, il ne leur restait plus qu'à renseigner un compte utilisateur et un mot de passe actifs sur l'application pour y effectuer tranquillement et à souhait, toutes sortes de manipulation. Dans le rapport, l'auditeur fait ce commentaire instructif. " Nous estimons que cette étape restante n'est pas la plus difficile dans ce genre d'intrusion. Généralement, c'est parce que les pirates possèdent déjà un compte et un mot de passe actifs qu'ils cherchent à s'introduire dans un système ". L'autre URL utilisé est la suivante : http://10.102.255.1:8080/isqlplus. Celle-ci a permis aux pirates d'accéder à " la page d'accès aux bases de données Oracle via une page web. Il ne leur restait plus qu'à renseigner un compte utilisateur et un mot de passe actifs avec les références de la base cible pour tenter d'y entrer pour d'éventuelles manipulations ". Selon nos sources, l'adresse IP utilisée par les pirates pour avoir accès au serveur de la banque et qui était censée avoir été désactivée par l'administrateur Unix, M. Adou Elvis depuis longtemps vu qu'une nouvelle avait été créée, était toujours active. Car, au lieu de la désactiver, M. Adou Elvis l'avait plutôt " plombée ", ce qui signifie qu'en l'utilisant, on pouvait avoir directement accès à la nouvelle adresse. Et c'est ce que les pirates ont fait.
L'adresse IP utilisée par les pirates appartient au directeur du Système d'information, M. Jean Jacques Ndocho
Selon l'auditeur, l'adresse IP10.102.255.1 utilisée par les pirates pour s'introduire dans le système informatique de la banque est celle du directeur des Systèmes d'information de la banque. En réalité, le directeur avait changé son adresse IP, mais pour des raisons que lui seul sait, il n'avait pas désactivé l'ancienne. Or cette adresse se trouvait justement sur la machine dont le coffret n'était pas fermé à clé et sur laquelle les pirates avaient connecté l'ordinateur portable. La salle qui abrite cette machine et qui elle aussi n'avait pas de clé, se trouve à la Direction des systèmes d'information de la banque. Il n'en faut pas plus pour que l'auditeur, dans son rapport adressé à la Direction générale de la banque, pose ces violentes questions : " Considérant que la sécurité physique et logique des actifs informatiques est de la responsabilité du DSI et l'adresse IP communiquée aux pirates est celle ayant appartenu à l'actuel DSI, nous recommandons que les questions suivantes reçoivent des réponses de sa part : connaissait-il l'existence de cette salle non sécurisée ? Savait-il que les équipements sensibles installés dans cette salle ne pouvaient logiquement pas être sécurisés ? Dans l'affirmative, quelles sont les dispositions prises ? Comment explique t-il que son adresse IP soit celle qui a été fixée sur cette machine ? Pourquoi n'a-t-il pas préalablement informé l'audit comme cela devrait normalement se faire mais plutôt sur recommandation de la Direction générale ? Pourquoi l'ordinateur a-t-il été débranché sans la présence de l'audit, situation ayant permis d'effacer des preuves de l'incident et qui normalement devrait faire l'objet de constat en présence d'un huissier avant toute investigation ? Pourquoi a-t-il procédé de manière unilatérale à la manipulation de l'ordinateur portable sans exiger la présence de l'audit ? Quel est le rapport produit à la suite de ses propres investigations ? Et à l'attention de M. Adou Elvis, l'administrateur Unix dont l'ancienne adresse IP avait été utilisée par les pirates pour avoir accès au serveur de la banque, les questions suivantes : considérant que le " plombage " de l'adresse IP du serveur est de la responsabilité de l'administrateur Unix (Adou Elvis) et que cette information uniquement détenue par ce dernier a été communiquée aux pirates, nous préconisons qu'une demande d'explication lui soit adressée afin de s'expliquer sur cette situation. Il devra indiquer le nombre de personnes susceptibles de connaître cette information. ". Enfin, à l'attention de la Direction générale, les auditeurs font cette sollicitation : " Permettre la poursuite de la mission par l'auditeur informatique, en lui redonnant les moyens logiques qui nous permettront d'évaluer les préjudices éventuels subis par la banque. "
La troublante attitude du directeur général
A plusieurs reprises, l'auditeur informatique tente de rencontrer le directeur général pour lui faire le point (comme c'est la pratique) de son enquête avant de lui transmettre les conclusions écrites. Mais selon nos sources, le directeur général ne trouvera pas le temps de le recevoir. Et alors même qu'il n'a pas reçu encore les conclusions de l'enquête, ce dernier procède à une réorganisation de la Direction du système d'information de la banque. Une décision qui suscite tout de suite l'inquiétude de l'auditeur. Lequel adresse un courrier électronique au directeur général pour attirer son attention sur les risques que cette réorganisation fait courir à la banque. Dans ce courrier daté du 4 octobre 2010, soit deux semaines après la découverte du piratage du système et sur lequel nous avons mis une main ferme, l'auditeur écrit : " Nous avons pris connaissance du nouvel organigramme de la DSI, et conformément à notre mission de conseil auprès de la Direction générale telle que vous nous l'avez signifiée au cours de nos différentes rencontres, nous avons procédé au regard de cette nouvelle organisation, à une évaluation de la séparation des tâches…il ressort de notre analyse, le principal point suivant : au niveau du poste de département infrastructures, nous avons relevé un cumul de tâches portant sur la fonction d'administrateur réseau (qui définit comment accéder aux ressources : la route) avec celle d'administrateur système (qui gère les ressources serveurs : les accès). La nouvelle organisation remet entre les mains d'une seule personne toutes les " clés " des composantes essentielles du système d'information de la banque notamment les routeurs, les commutateurs, les pare-feux, la segmentation du réseau, les accès à distance, la gestion des fichiers systèmes : qui définissent la manière dont on accède aux ressources et l'autorisation des accès aux serveurs et les accès aux données en production. C'est la raison pour laquelle nous estimons que cette concentration de pouvoir à la place d'une réelle séparation des fonctions pourrait présenter un risque élevé pour la Biao-Ci. Car, cette personne détentrice de ces privilèges peut, à titre d'exemple, toute seule effectuer ou autoriser la manipulation à distance des données en production de la banque sans attirer le moindre soupçon. " Ecrivent-ils. Le même jour, la réponse du DG tombe : " J'ai lu avec intérêt votre analyse et vous en remercie ; cependant, je reste sur ma soif, en ce que vous ne faites aucune préconisation ni recommandation pour mettre la banque à l'abri ; par ailleurs, je vous remercie de me dire en quoi le précédent organigramme permettait de circonscrire tous ces risques évoqués ci-dessous ? ". Cette réponse, selon nos sources, signifiait clairement que le DG avait décidé de ne pas tenir compte de cet avertissement.
La réunion du
Comité de direction
Le 19 octobre 2010, le Comité de direction se réunit. Le directeur de l'Audit informatique qui y assiste, en profite pour faire un bref rapport de l'audit fait par son agent, en attendant la transmission du rapport définitif. Dans ce rapport, il affirme : " Le risque d'intrusion a été matérialisé par un piratage du cœur du réseau (Orion) par une technique d'expert. Le système d'information de la banque a bel et bien été piraté : nous avons relevé que les pirates ont pu accéder à une page Orion et aussi ont pu ouvrir l'accès direct à la base de données via une page Web. Une mission parallèle a démarré en vue d'évaluer d'éventuels préjudices. Nous osons espérer que cette initiative n'est pas l'œuvre de tiers cherchant à détourner des fonds mais plutôt l'œuvre de hacker cherchant à montrer les défaillances de sécurité (cas General Régulation). Les techniques d'expert utilisées et la cible visée nous laissent craindre le contraire. " A la suite de ce rapport, au lieu de prendre des mesures conservatoires, le DG rejette celui-ci, au motif qu'il n'a pas été préalablement validé par le directeur des systèmes d'information de la banque. Ce qui est une incongruité puisque la Direction du contrôle et de l'audit informatique est un service autonome directement en rapport avec la Direction générale. C'est d'ailleurs ce que le directeur de l'audit aurait fait remarquer au DG. Mais celui-ci, qui n'aurait rien voulu entendre, met fin à l'échange, et poursuit la réunion. Procès verbal de cette réunion est dressé par la directrice juridique de la banque, Mme Sery Marie Anne. Mais selon nos sources, nulle mention n'aurait été faite dans ce procès verbal, sur les échanges entre le DG et le directeur de l'audit, à propos de ce bref rapport sur le piratage du système informatique de la banque. L'affaire est donc classée sans suite et la vie continue à la Biao-Ci comme si rien ne s'était passé.
L'auditeur interne
dessaisi de l'enquête
Le 21 octobre 2010, soit deux jours après la réunion du Comité de direction, les codes d'accès de l'auditeur informatique ayant mené l'enquête sont coupés par la Direction des systèmes d'information, sans aucune explication. Et sans aucun doute avec l'accord du directeur général. Quelle faute a-t-il commise dans l'exercice de sa fonction ? Aucune réponse ne lui est donnée. La décision a même été prise sans aviser le directeur du Contrôle et de l'audit informatique, son supérieur hiérarchique. Désormais, il est hors du réseau informatique de la banque et ne peut faire aucun contrôle sur le fonctionnement du réseau pour découvrir les opérations suspectes. Il ne peut également transmettre directement son rapport d'audit à la Direction générale, sans passer par un tiers. Il ne peut même pas l'envoyer à son chef direct. Le même jour, l'administrateur de la base de données du système informatique (celui-là même qui est chargé de la sécurité du système), réalise également que ses codes d'accès ont été coupés. Sans aucune explication. Il ne peut plus surveiller le système. Le 25 octobre 2010, soupçonnant un mauvais coup en préparation, l'auditeur informatique envoie son rapport à son chef via son adresse " Yahoo ". Ce dernier transmet le rapport au directeur général le 26 octobre 2010. La Direction générale restera sans voix jusqu'au 2 novembre.
Le 2 novembre, le détournement est découvert
Le 2 novembre 2010, une des caissières de la banque arrive à son poste à 7 H 30 et met son ordinateur en marche. Grande est sa surprise de constater la sortie de son imprimante, de plusieurs reçus de rechargement de cartes prépayées " Rubis ", alors qu'elle n'avait encore fait aucune opération. Elle informe immédiatement ses supérieurs qui, après quelques vérifications, découvrent le scandale. Un détournement de 630 millions a été opéré via les cartes prépayées de la banque.
La carte prépayée
" Rubis ", le passeport
La carte visa prépayée " Rubis " est une carte rechargeable qui offre les avantages d'une carte bancaire classique, sans que son détenteur n'ait besoin de posséder nécessairement un compte en banque. Elle permet à son détenteur d'effectuer des retraits d'espèces dans tous les distributeurs et guichets automatiques du réseau de la Biao-Ci, " Gim-Uemoa " et dans le monde entier. Des achats sur Internet et dans les surfaces munies d'un terminal de paiement électronique. Et, cerise sur le gâteau, cette carte non seulement peut être rechargée dans toutes les agences de la Biao-Ci, mais elle peut aussi être rechargée à distance.
Une opération
rondement menée
Le ou les auteurs du détournement, qui connaissaient parfaitement le système informatique du siège de la Biao-Ci qu'ils avaient déjà piraté, se sont connectés au serveur de la banque et ainsi ont eu accès aux mots de passe et autres codes secrets des agents de la banque. Et c'est par ces codes et mots de passe ainsi obtenus, qu'ils ont facilement rechargé 126 cartes prépayées " Rubis " appartenant à 14 personnes, jusqu'à hauteur de 630 millions F Cfa. L'opération de rechargement des 126 cartes se serait déroulée, selon Mr N'Docho Jean Jacques (directeur de l'Informatique) cité par une source judiciaire, dans la journée du samedi 30 octobre 2010, veille du 1er tour de l'élection présidentielle, une date apparemment bien choisie, puisqu'il s'agissait d'un long week-end. Les 14 personnes dont les cartes ont été rechargées ont, dans les heures et jours qui ont suivi et avant que la fraude ne soit découverte, retiré la somme de 467.653.925 F CFA sur les 630 millions.
La curieuse réponse du directeur général
Le 2 novembre 2010, alors que depuis 7 H 30, tous les employés de la banque étaient informés du détournement, le directeur général répond enfin, à 16 H 05 minutes 58 secondes, par un courrier électronique adressé au directeur du contrôle et audit informatique de la banque, au rapport d'audit sur le piratage du système informatique de la banque : Dans ce " courriel " dont nous avons obtenu copie, il écrit : " Votre rapport me laisse sur ma faim ; tout en laissant à la DSI le soin de répondre aux questions qui sont de son ressort, ma seule déception à la lecture de ce rapport vient du fait que depuis le début, je n'ai cessé de vous réclamer la réquisition en bonne et due forme à l'attention de MTN, afin d'avoir une idée sur l'identité du propriétaire de la clé USB qui a servi à faire la connexion avec l'extérieur. Sauf erreur ou omission de ma part, la banque n'a pas fait cette réquisition et l'on se demande pour quel mobile cette pièce maitresse manque au dossier sans que cela ne vous émeuve. Cette omission est très grave comme vous pouvez vous en douter, puisqu'aujourd'hui et par votre faute, nous n'avons aucune idée de l'auteur potentiel de cette tentative de fraude. Je n'exclus aucune piste notamment celle des complicités internes qui peuvent exister, mais votre rapport pêche parce que nulle part vous ne faites mention d'une piste pouvant conduire à l'auteur principal de cet acte. C'est bien regrettable ! Par la présente, je demande à Mme Séry d'adresser toutes affaires cessantes, une réquisition par les voies autorisées à MTN, afin de découvrir enfin l'identité du propriétaire de la clé USB. Pour le reste, je demande à l'Auditeur informatique Adjoint, M KOUADIO Donatien de prendre le relais dans ce dossier ; M ABBE est prié de lui transmettre tous les éléments à sa disposition. " Nulle part dans sa réponse, alors qu'il sait depuis le matin, comme tous les employés du siège que 467 millions ont été pompés, le directeur général ne parle de ce fait. En clair, il brouille les pistes en choisissant de suivre la piste de la clé USB MTN (comme suggérée au début par le directeur des systèmes d'information), alors que la banque détient l'identité des 14 personnes qui possèdent les cartes prépayées qui ont été frauduleusement rechargées. Pourquoi choisir le chemin le plus long quand on peut aller plus vite en empruntant le raccourci ? En plus, en demandant le remplacement de l'auditeur principal dont il avait fait couper les codes d'accès au réseau informatique plusieurs jours avant le détournement, le DG dessaisit ainsi celui-ci et l'éloigne d'une enquête qu'il a déjà bouclée.
L'affaire prend
une autre tournure
Sur instruction du directeur général, la directrice du Service juridique de la banque, Mme Sery Marie Anne, porte plainte pour le compte de la banque, contre " X ". Le 9 novembre 2010, le directeur du Contrôle et de l'audit informatique de la banque, M. Allé Abbé Honoré est licencié par la Direction générale pour " rupture de confiance ". En réalité, il lui est reproché d'avoir reçu à son bureau l'administrateur de la base de données alors que le directeur général l'avait mis, comme l'auditeur informatique, à la disposition des ressources humaines. Trois jours plus tard (le 12 novembre) M. Oblou Mouloh, technicien en maintenance à la Biao-Ci, est arrêté par la police économique. Il est soupçonné d'être le cerveau de l'opération, alors qu'il n'a aucune habilitation, aucun code d'accès. Il lui est reproché d'avoir, le 30 novembre 2010, alors qu'il devait être de repos, fait un tour dans son entreprise alors que c'est ce jour que la fraude a été accomplie. Mais selon une source policière, M. Oblou ne s'est retrouvé à son service qu'à la demande de son chef hiérarchique, Adou Elvis qui lui aurait envoyé un " Sms " à cet effet. Mais malgré cela, il est gardé à vue. Le même jour, l'auditeur informatique, M. K. Jean Martial est à son tour arrêté. Il ne sait ce qui lui est reproché. Le lendemain samedi 13 novembre, son chef hiérarchique (Allé Abbé H) est réveillé de bonne heure chez lui à domicile et mis aux arrêts après une perquisition de sa maison. L'administrateur des bases de données (Kouadio Ephrem) est également arrêté.
Déférés au parquet
Le vendredi 19 novembre 2010, les 4 agents de la banque sont déférés au parquet, en compagnie du directeur des Systèmes d'information (Jean Jacques Ndocho), l'administrateur Unix (Adou Elvis) et un caissier. Les trois derniers cités n'étant pas sous le coup d'une arrestation. Mais après leurs auditions, le substitut du procureur réalise tout de suite qu'il y a anguille sous roche et ordonne immédiatement la libération de Allé Abbé, K. Jean Martial et Kouadio Ephrem. Il ordonne également la mise aux arrêts du directeur des Systèmes d'information (Jean Jacques Ndocho), l'administrateur Unix (Adou Elvis) et le caissier dont le nom ne nous a pas été révélé. Quant au technicien, Oblou Mouloh, il est maintenu dans les liens de la détention. Les quatre sont reconduits à la police économique. Mais curieusement, la direction de la banque actionne sa directrice juridique pour intervenir afin d'obtenir la libération de Jean Jacques Ndocho, Adou Elvis et le caissier, pour qui la Direction se porte garant. A 23 h 20, ils sont libérés. M. Oblou Mouloh reste seul au violon. Par la suite, au sein de la banque, l'affaire est presqu'étouffée et la Direction générale fait feu de tous bois et éloigne les personnes susceptibles de créer des problèmes. L'administrateur des bases de données est licencié. L'auditeur informatique K. Jean Martial est licencié pour " insubordination " le mercredi 24 novembre. Dans le même temps, Adou Elvis, Jean Jacques Ndocho et le caissier reprennent leur travail. Au final, près d'un mois après la découverte du scandale, l'affaire est au point mort, aucune responsabilité n'a été située. Et ceux qui ont pompé les 467.653.952 F CFA courent toujours. Les 14 personnes qui ont bénéficié des rechargements frauduleux sur leurs cartes prépayées et dont l'identité est connue de la banque, continuent de jouir des bénéfices de cette fraude au détriment de la banque. Mais les personnes abusivement licenciées pour couvrir le crime et qui entendent porter plainte vont certainement faire le grand déballage…
ASSALE TIEMOKO
Au commencement était un ordinateur portable
Le 20 septembre 2010, un agent de la banque trouve un ordinateur portable qui n'appartient pas au réseau informatique de la Biao-Ci. (En réalité, selon nos sources, cet ordinateur avait été trouvé depuis le 17 septembre mais la direction du contrôle et de l'audit informatique n'a été informée que le 20 septembre). L'agent remet donc l'ordinateur à son chef hiérarchique direct, lequel sans informer le Service d'audit informatique interne de la banque, transmet l'ordinateur au directeur des Systèmes d'information de la banque, M. Jean Jacques Ndocho. Ce dernier à son tour, sans prendre attache avec les auditeurs informatiques comme l'exige la procédure, manipule l'ordinateur, avant d'aller s'entretenir avec le directeur général de la banque, M. Djedjes Essoh Martin. Après cette rencontre, il transmet enfin l'ordinateur suspect à la Direction de contrôle et audit informatique, avec cette mention rédigée par ses soins et contenue dans un document intitulé " Déclaration d'incident à la Direction des systèmes d'information ", daté du 20 septembre 2010 à 15 H 40 minutes : " un ordinateur portable muni d'une clé Internet MTN dont le numéro est 21012631 était connecté à notre réseau local par le biais du coffret de brassage sis à l'ancienne agence Anoma. Cet ordinateur portable avait été configuré avec les paramètres du PC de travail du directeur des Systèmes d'information (Ndlr lui-même). Les fraudeurs tentaient de se connecter au serveur Orion par ce canal en se faisant passer pour le DSI. Fort heureusement, ces paramètres étaient obsolètes. Avec la clé MTN, il est possible de remonter la piste pour savoir celui qui l'a achetée. ", conclut-il. En clair, selon M. Jean Jacques Ndocho, l'ordinateur portable retrouvé avait des paramètres qui ne pouvaient absolument pas permettre de pirater le système informatique de la banque. Conclusion : Pour lui, le système n'a pas été piraté. Et la piste de la clé MTN (laissée comme hasard par les pirates), suggérée à l'auditeur, avait un but précis. Mettre fin à la recherche d'une autre piste. Mais l'auditeur ne veut pas se contenter de cette conclusion plutôt hâtive. Il décide de faire des vérifications différentes de celle de M. Jean Jacques Ndocho. Il se rend donc dans la salle où se trouve le coffret abritant la machine qui contrôle tout le système informatique (salle Pme…) et tombe des nues en découvrant que cette salle, non seulement n'est pas fermée à clé, mais en plus, le coffret abritant la machine n'est pas également fermée à clé. Et chose encore plus grave tout le monde peut avoir accès à cette salle, y compris les vigiles de la banque. En réalité, cette machine n'est ni protégée du point de vue " logique " ni du point de vue " physique ". Cela avait-il été fait à dessein pour permettre la réalisation de ce qui va suivre ?
Le système informatique de la banque piraté
En poursuivant ses investigations, l'auditeur découvre que l'ordinateur portable trouvé dans l'entreprise avait servi à pirater le système informatique de la banque. Et à travers le navigateur Web Firefox installé sur cet ordinateur portable, il parvient à saisir les URL (Uniform Resource Locator ou localisateur uniforme de ressources), utilisés par les pirates pour s'introduire dans le réseau de la banque. http://10.102.255.1.8080/orion.exe/orion?config=biaoprod. Cette adresse, selon le rapport d'audit que nous avons feuilleté silencieusement, a permis aux pirates d'accéder à " la page d'accès au système d'information bancaire de la Biao-Ci ", c'est-à-dire, à l'applicatif Orion. Une fois cela fait, il ne leur restait plus qu'à renseigner un compte utilisateur et un mot de passe actifs sur l'application pour y effectuer tranquillement et à souhait, toutes sortes de manipulation. Dans le rapport, l'auditeur fait ce commentaire instructif. " Nous estimons que cette étape restante n'est pas la plus difficile dans ce genre d'intrusion. Généralement, c'est parce que les pirates possèdent déjà un compte et un mot de passe actifs qu'ils cherchent à s'introduire dans un système ". L'autre URL utilisé est la suivante : http://10.102.255.1:8080/isqlplus. Celle-ci a permis aux pirates d'accéder à " la page d'accès aux bases de données Oracle via une page web. Il ne leur restait plus qu'à renseigner un compte utilisateur et un mot de passe actifs avec les références de la base cible pour tenter d'y entrer pour d'éventuelles manipulations ". Selon nos sources, l'adresse IP utilisée par les pirates pour avoir accès au serveur de la banque et qui était censée avoir été désactivée par l'administrateur Unix, M. Adou Elvis depuis longtemps vu qu'une nouvelle avait été créée, était toujours active. Car, au lieu de la désactiver, M. Adou Elvis l'avait plutôt " plombée ", ce qui signifie qu'en l'utilisant, on pouvait avoir directement accès à la nouvelle adresse. Et c'est ce que les pirates ont fait.
L'adresse IP utilisée par les pirates appartient au directeur du Système d'information, M. Jean Jacques Ndocho
Selon l'auditeur, l'adresse IP10.102.255.1 utilisée par les pirates pour s'introduire dans le système informatique de la banque est celle du directeur des Systèmes d'information de la banque. En réalité, le directeur avait changé son adresse IP, mais pour des raisons que lui seul sait, il n'avait pas désactivé l'ancienne. Or cette adresse se trouvait justement sur la machine dont le coffret n'était pas fermé à clé et sur laquelle les pirates avaient connecté l'ordinateur portable. La salle qui abrite cette machine et qui elle aussi n'avait pas de clé, se trouve à la Direction des systèmes d'information de la banque. Il n'en faut pas plus pour que l'auditeur, dans son rapport adressé à la Direction générale de la banque, pose ces violentes questions : " Considérant que la sécurité physique et logique des actifs informatiques est de la responsabilité du DSI et l'adresse IP communiquée aux pirates est celle ayant appartenu à l'actuel DSI, nous recommandons que les questions suivantes reçoivent des réponses de sa part : connaissait-il l'existence de cette salle non sécurisée ? Savait-il que les équipements sensibles installés dans cette salle ne pouvaient logiquement pas être sécurisés ? Dans l'affirmative, quelles sont les dispositions prises ? Comment explique t-il que son adresse IP soit celle qui a été fixée sur cette machine ? Pourquoi n'a-t-il pas préalablement informé l'audit comme cela devrait normalement se faire mais plutôt sur recommandation de la Direction générale ? Pourquoi l'ordinateur a-t-il été débranché sans la présence de l'audit, situation ayant permis d'effacer des preuves de l'incident et qui normalement devrait faire l'objet de constat en présence d'un huissier avant toute investigation ? Pourquoi a-t-il procédé de manière unilatérale à la manipulation de l'ordinateur portable sans exiger la présence de l'audit ? Quel est le rapport produit à la suite de ses propres investigations ? Et à l'attention de M. Adou Elvis, l'administrateur Unix dont l'ancienne adresse IP avait été utilisée par les pirates pour avoir accès au serveur de la banque, les questions suivantes : considérant que le " plombage " de l'adresse IP du serveur est de la responsabilité de l'administrateur Unix (Adou Elvis) et que cette information uniquement détenue par ce dernier a été communiquée aux pirates, nous préconisons qu'une demande d'explication lui soit adressée afin de s'expliquer sur cette situation. Il devra indiquer le nombre de personnes susceptibles de connaître cette information. ". Enfin, à l'attention de la Direction générale, les auditeurs font cette sollicitation : " Permettre la poursuite de la mission par l'auditeur informatique, en lui redonnant les moyens logiques qui nous permettront d'évaluer les préjudices éventuels subis par la banque. "
La troublante attitude du directeur général
A plusieurs reprises, l'auditeur informatique tente de rencontrer le directeur général pour lui faire le point (comme c'est la pratique) de son enquête avant de lui transmettre les conclusions écrites. Mais selon nos sources, le directeur général ne trouvera pas le temps de le recevoir. Et alors même qu'il n'a pas reçu encore les conclusions de l'enquête, ce dernier procède à une réorganisation de la Direction du système d'information de la banque. Une décision qui suscite tout de suite l'inquiétude de l'auditeur. Lequel adresse un courrier électronique au directeur général pour attirer son attention sur les risques que cette réorganisation fait courir à la banque. Dans ce courrier daté du 4 octobre 2010, soit deux semaines après la découverte du piratage du système et sur lequel nous avons mis une main ferme, l'auditeur écrit : " Nous avons pris connaissance du nouvel organigramme de la DSI, et conformément à notre mission de conseil auprès de la Direction générale telle que vous nous l'avez signifiée au cours de nos différentes rencontres, nous avons procédé au regard de cette nouvelle organisation, à une évaluation de la séparation des tâches…il ressort de notre analyse, le principal point suivant : au niveau du poste de département infrastructures, nous avons relevé un cumul de tâches portant sur la fonction d'administrateur réseau (qui définit comment accéder aux ressources : la route) avec celle d'administrateur système (qui gère les ressources serveurs : les accès). La nouvelle organisation remet entre les mains d'une seule personne toutes les " clés " des composantes essentielles du système d'information de la banque notamment les routeurs, les commutateurs, les pare-feux, la segmentation du réseau, les accès à distance, la gestion des fichiers systèmes : qui définissent la manière dont on accède aux ressources et l'autorisation des accès aux serveurs et les accès aux données en production. C'est la raison pour laquelle nous estimons que cette concentration de pouvoir à la place d'une réelle séparation des fonctions pourrait présenter un risque élevé pour la Biao-Ci. Car, cette personne détentrice de ces privilèges peut, à titre d'exemple, toute seule effectuer ou autoriser la manipulation à distance des données en production de la banque sans attirer le moindre soupçon. " Ecrivent-ils. Le même jour, la réponse du DG tombe : " J'ai lu avec intérêt votre analyse et vous en remercie ; cependant, je reste sur ma soif, en ce que vous ne faites aucune préconisation ni recommandation pour mettre la banque à l'abri ; par ailleurs, je vous remercie de me dire en quoi le précédent organigramme permettait de circonscrire tous ces risques évoqués ci-dessous ? ". Cette réponse, selon nos sources, signifiait clairement que le DG avait décidé de ne pas tenir compte de cet avertissement.
La réunion du
Comité de direction
Le 19 octobre 2010, le Comité de direction se réunit. Le directeur de l'Audit informatique qui y assiste, en profite pour faire un bref rapport de l'audit fait par son agent, en attendant la transmission du rapport définitif. Dans ce rapport, il affirme : " Le risque d'intrusion a été matérialisé par un piratage du cœur du réseau (Orion) par une technique d'expert. Le système d'information de la banque a bel et bien été piraté : nous avons relevé que les pirates ont pu accéder à une page Orion et aussi ont pu ouvrir l'accès direct à la base de données via une page Web. Une mission parallèle a démarré en vue d'évaluer d'éventuels préjudices. Nous osons espérer que cette initiative n'est pas l'œuvre de tiers cherchant à détourner des fonds mais plutôt l'œuvre de hacker cherchant à montrer les défaillances de sécurité (cas General Régulation). Les techniques d'expert utilisées et la cible visée nous laissent craindre le contraire. " A la suite de ce rapport, au lieu de prendre des mesures conservatoires, le DG rejette celui-ci, au motif qu'il n'a pas été préalablement validé par le directeur des systèmes d'information de la banque. Ce qui est une incongruité puisque la Direction du contrôle et de l'audit informatique est un service autonome directement en rapport avec la Direction générale. C'est d'ailleurs ce que le directeur de l'audit aurait fait remarquer au DG. Mais celui-ci, qui n'aurait rien voulu entendre, met fin à l'échange, et poursuit la réunion. Procès verbal de cette réunion est dressé par la directrice juridique de la banque, Mme Sery Marie Anne. Mais selon nos sources, nulle mention n'aurait été faite dans ce procès verbal, sur les échanges entre le DG et le directeur de l'audit, à propos de ce bref rapport sur le piratage du système informatique de la banque. L'affaire est donc classée sans suite et la vie continue à la Biao-Ci comme si rien ne s'était passé.
L'auditeur interne
dessaisi de l'enquête
Le 21 octobre 2010, soit deux jours après la réunion du Comité de direction, les codes d'accès de l'auditeur informatique ayant mené l'enquête sont coupés par la Direction des systèmes d'information, sans aucune explication. Et sans aucun doute avec l'accord du directeur général. Quelle faute a-t-il commise dans l'exercice de sa fonction ? Aucune réponse ne lui est donnée. La décision a même été prise sans aviser le directeur du Contrôle et de l'audit informatique, son supérieur hiérarchique. Désormais, il est hors du réseau informatique de la banque et ne peut faire aucun contrôle sur le fonctionnement du réseau pour découvrir les opérations suspectes. Il ne peut également transmettre directement son rapport d'audit à la Direction générale, sans passer par un tiers. Il ne peut même pas l'envoyer à son chef direct. Le même jour, l'administrateur de la base de données du système informatique (celui-là même qui est chargé de la sécurité du système), réalise également que ses codes d'accès ont été coupés. Sans aucune explication. Il ne peut plus surveiller le système. Le 25 octobre 2010, soupçonnant un mauvais coup en préparation, l'auditeur informatique envoie son rapport à son chef via son adresse " Yahoo ". Ce dernier transmet le rapport au directeur général le 26 octobre 2010. La Direction générale restera sans voix jusqu'au 2 novembre.
Le 2 novembre, le détournement est découvert
Le 2 novembre 2010, une des caissières de la banque arrive à son poste à 7 H 30 et met son ordinateur en marche. Grande est sa surprise de constater la sortie de son imprimante, de plusieurs reçus de rechargement de cartes prépayées " Rubis ", alors qu'elle n'avait encore fait aucune opération. Elle informe immédiatement ses supérieurs qui, après quelques vérifications, découvrent le scandale. Un détournement de 630 millions a été opéré via les cartes prépayées de la banque.
La carte prépayée
" Rubis ", le passeport
La carte visa prépayée " Rubis " est une carte rechargeable qui offre les avantages d'une carte bancaire classique, sans que son détenteur n'ait besoin de posséder nécessairement un compte en banque. Elle permet à son détenteur d'effectuer des retraits d'espèces dans tous les distributeurs et guichets automatiques du réseau de la Biao-Ci, " Gim-Uemoa " et dans le monde entier. Des achats sur Internet et dans les surfaces munies d'un terminal de paiement électronique. Et, cerise sur le gâteau, cette carte non seulement peut être rechargée dans toutes les agences de la Biao-Ci, mais elle peut aussi être rechargée à distance.
Une opération
rondement menée
Le ou les auteurs du détournement, qui connaissaient parfaitement le système informatique du siège de la Biao-Ci qu'ils avaient déjà piraté, se sont connectés au serveur de la banque et ainsi ont eu accès aux mots de passe et autres codes secrets des agents de la banque. Et c'est par ces codes et mots de passe ainsi obtenus, qu'ils ont facilement rechargé 126 cartes prépayées " Rubis " appartenant à 14 personnes, jusqu'à hauteur de 630 millions F Cfa. L'opération de rechargement des 126 cartes se serait déroulée, selon Mr N'Docho Jean Jacques (directeur de l'Informatique) cité par une source judiciaire, dans la journée du samedi 30 octobre 2010, veille du 1er tour de l'élection présidentielle, une date apparemment bien choisie, puisqu'il s'agissait d'un long week-end. Les 14 personnes dont les cartes ont été rechargées ont, dans les heures et jours qui ont suivi et avant que la fraude ne soit découverte, retiré la somme de 467.653.925 F CFA sur les 630 millions.
La curieuse réponse du directeur général
Le 2 novembre 2010, alors que depuis 7 H 30, tous les employés de la banque étaient informés du détournement, le directeur général répond enfin, à 16 H 05 minutes 58 secondes, par un courrier électronique adressé au directeur du contrôle et audit informatique de la banque, au rapport d'audit sur le piratage du système informatique de la banque : Dans ce " courriel " dont nous avons obtenu copie, il écrit : " Votre rapport me laisse sur ma faim ; tout en laissant à la DSI le soin de répondre aux questions qui sont de son ressort, ma seule déception à la lecture de ce rapport vient du fait que depuis le début, je n'ai cessé de vous réclamer la réquisition en bonne et due forme à l'attention de MTN, afin d'avoir une idée sur l'identité du propriétaire de la clé USB qui a servi à faire la connexion avec l'extérieur. Sauf erreur ou omission de ma part, la banque n'a pas fait cette réquisition et l'on se demande pour quel mobile cette pièce maitresse manque au dossier sans que cela ne vous émeuve. Cette omission est très grave comme vous pouvez vous en douter, puisqu'aujourd'hui et par votre faute, nous n'avons aucune idée de l'auteur potentiel de cette tentative de fraude. Je n'exclus aucune piste notamment celle des complicités internes qui peuvent exister, mais votre rapport pêche parce que nulle part vous ne faites mention d'une piste pouvant conduire à l'auteur principal de cet acte. C'est bien regrettable ! Par la présente, je demande à Mme Séry d'adresser toutes affaires cessantes, une réquisition par les voies autorisées à MTN, afin de découvrir enfin l'identité du propriétaire de la clé USB. Pour le reste, je demande à l'Auditeur informatique Adjoint, M KOUADIO Donatien de prendre le relais dans ce dossier ; M ABBE est prié de lui transmettre tous les éléments à sa disposition. " Nulle part dans sa réponse, alors qu'il sait depuis le matin, comme tous les employés du siège que 467 millions ont été pompés, le directeur général ne parle de ce fait. En clair, il brouille les pistes en choisissant de suivre la piste de la clé USB MTN (comme suggérée au début par le directeur des systèmes d'information), alors que la banque détient l'identité des 14 personnes qui possèdent les cartes prépayées qui ont été frauduleusement rechargées. Pourquoi choisir le chemin le plus long quand on peut aller plus vite en empruntant le raccourci ? En plus, en demandant le remplacement de l'auditeur principal dont il avait fait couper les codes d'accès au réseau informatique plusieurs jours avant le détournement, le DG dessaisit ainsi celui-ci et l'éloigne d'une enquête qu'il a déjà bouclée.
L'affaire prend
une autre tournure
Sur instruction du directeur général, la directrice du Service juridique de la banque, Mme Sery Marie Anne, porte plainte pour le compte de la banque, contre " X ". Le 9 novembre 2010, le directeur du Contrôle et de l'audit informatique de la banque, M. Allé Abbé Honoré est licencié par la Direction générale pour " rupture de confiance ". En réalité, il lui est reproché d'avoir reçu à son bureau l'administrateur de la base de données alors que le directeur général l'avait mis, comme l'auditeur informatique, à la disposition des ressources humaines. Trois jours plus tard (le 12 novembre) M. Oblou Mouloh, technicien en maintenance à la Biao-Ci, est arrêté par la police économique. Il est soupçonné d'être le cerveau de l'opération, alors qu'il n'a aucune habilitation, aucun code d'accès. Il lui est reproché d'avoir, le 30 novembre 2010, alors qu'il devait être de repos, fait un tour dans son entreprise alors que c'est ce jour que la fraude a été accomplie. Mais selon une source policière, M. Oblou ne s'est retrouvé à son service qu'à la demande de son chef hiérarchique, Adou Elvis qui lui aurait envoyé un " Sms " à cet effet. Mais malgré cela, il est gardé à vue. Le même jour, l'auditeur informatique, M. K. Jean Martial est à son tour arrêté. Il ne sait ce qui lui est reproché. Le lendemain samedi 13 novembre, son chef hiérarchique (Allé Abbé H) est réveillé de bonne heure chez lui à domicile et mis aux arrêts après une perquisition de sa maison. L'administrateur des bases de données (Kouadio Ephrem) est également arrêté.
Déférés au parquet
Le vendredi 19 novembre 2010, les 4 agents de la banque sont déférés au parquet, en compagnie du directeur des Systèmes d'information (Jean Jacques Ndocho), l'administrateur Unix (Adou Elvis) et un caissier. Les trois derniers cités n'étant pas sous le coup d'une arrestation. Mais après leurs auditions, le substitut du procureur réalise tout de suite qu'il y a anguille sous roche et ordonne immédiatement la libération de Allé Abbé, K. Jean Martial et Kouadio Ephrem. Il ordonne également la mise aux arrêts du directeur des Systèmes d'information (Jean Jacques Ndocho), l'administrateur Unix (Adou Elvis) et le caissier dont le nom ne nous a pas été révélé. Quant au technicien, Oblou Mouloh, il est maintenu dans les liens de la détention. Les quatre sont reconduits à la police économique. Mais curieusement, la direction de la banque actionne sa directrice juridique pour intervenir afin d'obtenir la libération de Jean Jacques Ndocho, Adou Elvis et le caissier, pour qui la Direction se porte garant. A 23 h 20, ils sont libérés. M. Oblou Mouloh reste seul au violon. Par la suite, au sein de la banque, l'affaire est presqu'étouffée et la Direction générale fait feu de tous bois et éloigne les personnes susceptibles de créer des problèmes. L'administrateur des bases de données est licencié. L'auditeur informatique K. Jean Martial est licencié pour " insubordination " le mercredi 24 novembre. Dans le même temps, Adou Elvis, Jean Jacques Ndocho et le caissier reprennent leur travail. Au final, près d'un mois après la découverte du scandale, l'affaire est au point mort, aucune responsabilité n'a été située. Et ceux qui ont pompé les 467.653.952 F CFA courent toujours. Les 14 personnes qui ont bénéficié des rechargements frauduleux sur leurs cartes prépayées et dont l'identité est connue de la banque, continuent de jouir des bénéfices de cette fraude au détriment de la banque. Mais les personnes abusivement licenciées pour couvrir le crime et qui entendent porter plainte vont certainement faire le grand déballage…
ASSALE TIEMOKO
