Aux Etats-Unis, un informaticien de la Bank of New-York a admis avoir utilisé des données auxquelles ils accédait pour monter un système de détournement de fonds… Mécanique qui est restée indétectée pendant 8 huit ans.

Le procureur général de Manhattan, Cyrus Vance Jr, a annoncé aujourd’hui qu’un technicien informatique de la Bank of New-York, Adeniyi Adeyemi, a admis avoir détourné à son profit une liste de 2 000 employés de la banque qu’il a utilisée pour mettre en place un vaste réseau de détournement d’argent. Procédé qui lui a notamment permis de s’approprier les fonds d’organisations non gouvernementales et humanitaires.

 

Agé de 27 ans, Adeniyi Adeyemi a détourné près de 1,1 M$ sur 8 ans en utilisant les informations de login et mot de passe d’autres employés de la banque pour ouvrir une trentaine de comptes « fictifs ». Ces comptes ont ensuite été utilisés pour faire transiter les sommes détournées depuis les comptes des ONG. Adeyemi a ensuite retiré ces fonds pour les utiliser à son propre profit et pour envoyer de l’argent et des biens au Nigeria, son pays d’origine.

L’activité d’Adeyemi a finalement été détectée courant 2009 et son appartement perquisitionné en avril 2009. Les enquêteurs ont trouvé sur place une série d’éléments à charge, dont la liste des informations sur les 2 000 employés de la banque dérobée par Adeyemi. Selon le procureur général de New-York, l’enquête a été facilitée par les services internes de JPMorgan Chase Bank, E*Trade, Fidelity Investments, Bank of America, Wachovia et de la Poste américaine. Ayedemi a annoncé son intention de plaider coupable pour les faits qui lui sont reprochés.

En France aussi

L’affaire rappelle que si les banques ont toutes les peines du monde à faire face aux attaques sur leurs sites de banque en ligne, notamment du fait de l’inconscience de nombre de leurs clients, elles doivent aussi se protéger des attaques de l’intérieur. L’occasion de rappeler que, dans bien des cas, les simulations menées par les services d’audit des banques françaises sur la faisabilité d’attaques internes se concluent… par un franc succès. Un constat qui ne signifie pas que les éventuels fraudeurs s’en tireront impunément, la plupart des cas récents en France s’étant soldés par l’arrestation des coupables et par des condamnations sévères.

On peut ainsi rappeler l’exemple de Alain P., à Metz, qui avait réussi entre 2003 et 2008 à tromper les systèmes de contrôles internes des DAB de la Banque Populaire Lorraine Champagne pour détourner 350 000 €, ou celui de cet employé parisien de HSBC qui a détourné 900 000 € à l’hiver 2009 en siphonnant des comptes de clients.

 

On se souvient aussi de Mathieu de Carli qui avait pillé 210 000 € sur une cinquantaine de comptes de la Banque Pelletier à Dax ou de cette conseillère du Crédit Agricole à Béziers, qui avait détourné près de 4 M€ en montant de faux dossiers de prêts immobiliers. Plus récemment, notre confrère Le Parisien révélait le cas de cet employé de Société Générale Asset Management qui, en février 2010, a détourné 2 M€ des caisses de la banque avant de les blanchir en Côte d’Ivoire.

A chaque fois, les banques ont assuré que leurs clients n’avaient pas été pénalisés par ces vols (une défense standard), omettant un peu vite de revenir sur les failles dans leurs systèmes de contrôles internes. Après tout, l’erreur est forcément humaine.

Egalement sur LeMagIT :

Grand Emprunt : les acteurs du numérique ont rendu leur copie à NKM

Passer au Cloud, aussi un exercice de gestion des risques pour la DSI