C’est le Financial Times qui a le premier découvert le pot aux roses. La division américaine de la banque industrielle et commerciale de Chine (ICBC Financial Services) a été victime d’une attaque par ransomware rendant indisponible certains services financiers aux Etats-Unis. L’incident a notamment a empêché le règlement et la compensation d’opérations auprès du Trésor américain pour le compte d’autres acteurs du marché. Des solutions de secours et de résilience ont été mises en place pour rediriger ces opérations vers d’autres marchés. Pour mémoire, ICBC FS est le seul courtier chinois disposant d'une licence de compensation de titres aux États-Unis et disposait d’un portefeuille d’actifs de 24,5 Md$ à la fin juin 2023.

Les membres de la Securities Industry and Financial Markets Association (regroupant les sociétés de valeurs mobilières, les banques et les sociétés de gestion d'actifs) ont été informés de l’incident jeudi, rapporte le quotidien économique. ICBC a lui aussi communiqué sur son site pour confirmer qu’il avait bien été ciblé par un ransomware sans donner plus de détail. Une enquête est en cours et les autorités judiciaires ont été saisies pour en savoir plus.

Les soupçons se portent sur Lockbit

Avant de confirmer l’attaque par ransomware, l’expert en sécurité Kevin Beaumont avait vu en début de semaine chez ICBC un serveur Citrix vulnérable à la faille « Citrix Bleed ». Depuis, il a été mis hors ligne. « Il permet de contourner complètement et facilement toutes les formes d'authentification et est exploité par des groupes de ransomwares. C'est aussi simple que de pointer et de cliquer à l'intérieur des organisations - cela donne aux attaquants un ordinateur de bureau à distance entièrement interactif à l'autre extrémité », précise le spécialiste.

De son côté, les autorités chinoises ont minimisé l’affaire en soulignant que la cyberattaque est « limitée dans son impact et presque résolue », mais par contre ne va pas enclencher une enquête plus approfondie sur les responsabilités de la banque. Elles ne donnent pas non plus de détails sur le groupe de ransomware derrière l’attaque. Selon une source citée par Bloomberg, il s’agirait du gang Lockbit. Ce dernier est souvent rattaché à la Russie et l’attaque contre une entreprise chinoise a de quoi surprendre, (un affilié un peu trop zélé ?). Toujours est-il que cette opération montre que malgré des investissements importants en cybersécurité, le système financier reste fragile.