Faut-il un Sarbanes-Oxley pour les banquiers ?
« Attaque massive des bases de données d'un intermédiaire bancaire : des millions de comptes sont compromis. Les victimes sont clientes de Visa, MasterCard et American Express » Tout çà a un air de déjà vu ? à peine !... cette annonce faisait la hune de CSO en février 2003, et CNN titrait « Hacker accesses 5.6 million credit cards ». 5,6 millions de cartes, excusez du peu. En tous les cas, pas de quoi fouetter un Caissier Général ou affoler un banquier si l'on en juge par l'absence de mesures efficaces mises en place depuis ce coup de semonce. Lequel n'était déjà pas le premier. Nos confrères américains n'ont pas la mémoire aussi longue, mais commencent à réaliser combien sont fragiles les systèmes de protection des données chez ces fameux « intermédiaires », ceux qui travaillent entre les e-commerçants et les organismes financiers gérant les comptes courants des internautes. Globe interviewe plusieurs experts, qui tous tombent d'accord sur un point : « on ne les a jamais contrôlé sérieusement ». « Il est tout à fait possible que de telles mésaventures puissent se reproduire ailleurs »... une lapalissade qui vaut son pesant de dollars, puisqu'un « incontrôlé » du gabarit de CardSystems manipule annuellement près de 15 milliards de dollars. quasiment le PNB de certains pays en voie de développement. « Pourquoi braquer une banque protégée comme Fort Knox, alors que son commis encaisseur utilise des bases de données ouvertes à tous les vents ? » s'interroge USA Today. Comme quoi, depuis Lacenaire, les moyens évoluent mais les techniques de braquage ne changent pas. Mêmes propos, même constat, même effet dramatique appuyé par un petit tableau récapitulatif des compromissions les plus spectaculaires. CardSystems : 40 Millions de comptes, Citigroup : 3,9 millions de comptes, DSW Shoe Warehouse : 1,4 million, Bank of America : 1,2 million, Time Warner : 600 000, LexisNexis : 310 000, Ameritrade : 200 000, Polo Ralph Lauren : 180 000, ChoicePoint : 145 000, Boston College : 120 000... des affaires qui, pour la plupart, remontent à moins de 6 mois. Et ces statistiques passent sous silence les « accidents », hiatus et dysfonctionnements du système d'information. Pertes de bandes, disques durs qui disparaissent, agendas mobiles et ordinateurs portables volés ou perdus dans un aéroport ou une chambre d'hôtel, procédures de liaisons distantes frisant la fantaisie la plus débridée... des impondérables qui, jusqu'à présent, n'ont pas « officiellement » été exploités par des pirates. Afin de corser un peu le festin, ajoutez deux pincées de phishing, un soupçon de scam, trois ou quatre gouttes d'attaques « man in the middle », un filet de keylogger, une larme (une grosse larme) de chantage à l'attaque en déni de service, un belle gousse de botnet, saupoudrez avec une poignée de failles de navigateur et leurs virus associés, laissez mijoter en couvrant le tout par une épaisse couche de discours rassurants et laudatifs, portez le tout à ébullition et servez çà à la Presse. Si le mélange est servi très chaud, la probabilité de voir réagir promptement quelques sénateurs américains (démocrates par exemple) devrait rapidement se vérifier. Verra-t-on ainsi naître un Sarbanes-Oxley légiférant sur l'ensemble des chaînes de transaction ? Puis, par phénomène d'osmose juridique, un Bâle III/code des banques 2006 s'en inspirant ? Tous les ingrédients sont là, depuis le client final floué jusqu'au soupçon de laxisme des Directions Générales, en passant par le mutisme ou l'acceptation tacites des cadres et l'apparente ignorance de cet état de fait par l'ensemble d'une profession. CardSystems n'est certainement pas Enron, mais les deux affaires possèdent un « patrimoine génétique commun » qui risque de pousser les législateurs à prendre des mesures.