Il assurait pouvoir identifier trois des pirates informatiques à l’origine du retentissant braquage qui a coûté 81 millions de dollars à la banque centrale du Bangladesh en février 2016. L’expert bangladais en cybersécurité Tanveer Hassan Zoha n’a pas pu en dire plus : il a disparu depuis plusieurs jours, a annoncé sa femme, Kamrun Nahar Chowdhury, dimanche 20 mars. Elle affirme qu’il a été kidnappé alors qu’il était dans un rickshaw et que la police refuse d’enquêter sur cet enlèvement qui pourrait être lié à ce braquage 2.0.

Cette disparition n’est que l’un des mystères qui entourent encore l’une des plus spectaculaires et rentables attaque informatique contre une banque. Principales interrogations des enquêteurs bangladais, rejoints depuis la semaine dernière par le FBI : qui sont les voleurs et comment ont-il réussi à pénétrer dans le système informatique d’une banque centrale et tromper la vigilance de tout le monde, y compris la Réserve fédérale de New York ?

Imprimante en panne

Pour parvenir à y voir plus clair, les autorités bangladaises cherchent depuis début mars à retracer le film des événements. Il commence à prendre forme. Tout commence il y a plus d’un an. Le 15 mai 2015, quatre comptes sont ouverts dans une banque de Manille, la capitale des Philippines, en utilisant des faux permis de conduire.

Ces comptes restent dormant jusqu’au vendredi 5 février. Ils sont alors approvisionnés de 81 millions de dollars, en provenance de la Banque centrale du Bangladesh. Au même instant, au siège de l’institution monétaire, un directeur adjoint se rend compte que l’imprimante ne fonctionne plus. Impossible d’avoir la trace écrite - générée automatiquement par l’imprimante - des ordres passés la veille.

Il faudra aux salariés une journée en plus pour imprimer manuellement tous les documents et se rendre compte de l’étendue du désastre. Des pirates informatiques ont réussi à falsifier 35 ordres adressés à la Réserve fédérale de New York (où sont stockés une partie des réserves en dollars de la banque centrale du Bangladesh) pour un montant total de 951 millions de dollars.

La banque new-yorkaise a bloqué le virement de 850 millions de dollars mais, elle a autorisé le transfert de 101 millions de dollars. Les autorités américaines assurent que ces ordres ont été validés par le système électronique d’authentification bancaire. Mais la Réserve fédérale de New York n’a pas précisé pourquoi elle n’a pas donné son feu vert à la majorité des demandes de virements.

À Dacca, personne ne sait où sont passés les 101 millions de dollars. Très vite, les autorités bangladaises vont récupérer 20 millions de dollars, bloqués dans une banque sri-lankaise. Les cybercriminels avaient mal orthographié le nom de l’ONG, censée être le destinataire final des fonds, ce qui avait éveillé les soupçons des banquiers.

Une banquière silencieuse

Pour les 81 millions de dollars restant, l’affaire s’annonce plus difficile. L’enquête a pu établir qu’ils ont fini dans le réseau des casinos philippins, où l’argent a pu être blanchi. Pour y parvenir, les braqueurs ont mis au point un plan très minutieux.

Ils ont d’abord ouvert, toujours à la même banque de Manille, un cinquième compte au nom de William So Go, sur lequel ils ont virés l’intégralité de l’argent récupéré, avant que les autorités n’aient le temps de bloquer les quatre comptes initiaux.

Contrairement à toutes les fausses identités utilisées dans cette histoire, celle de William So Go est bien réelle. Il existe bel et bien un financier sino-philippin qui porte ce nom. Il a assuré aux enquêteurs n’y être pour rien. Il soutient que sa signature - nécessaire pour ouvrir le compte - a été falsifiée et a même déposé plainte contre la banque pour défaut de contrôle suffisant.

Ce nouveau compte a ensuite été, à son tour, vidé durant le week-end du 6 et 7 février. D’où une autre interrogation des enquêteurs : comment la banque de Manille a-t-elle pu autoriser une transaction d’un tel montant sans prendre des précautions spécifiques quant à l’identité des bénéficiaires de l’argent ?

Une personne pourrait détenir une partie de la réponse, mais elle refuse de parler. Maia Santos Deguito, responsable de la filiale de la banque de Manille où se trouvait les comptes, a permis, à deux reprises, des retraits et virements substantiels.

Une première fois, elle ne s’est pas opposée à ce qu’une personne, se présentant sous une fausse identité, retire 22,7 millions de dollars en liquide. Un peu plus tard, elle donne le feu vert au virement des fonds restant, qui  se sont perdus dans le circuit des casinos philippins. Poursuivi par l’agence philippine de lutte contre le blanchiment d’argent, Maia Santos Deguito a préféré opter pour le silence afin “de ne pas s’incriminer”.

Les enquêteurs s’intéressent aussi au rôle des casinos qui n’ont pas tiqué face à une hausse substantielle d’argent dans leur circuit. Les gérants de ces établissements n’auraient pas été surpris car ce week-end correspondait à la période du nouvel an chinois, “et nous nous attendions à avoir plus d’activité que d’habitude”, a affirmé au "Financial Times" Silverio Benny Tan, l'un des responsables de Bloomberry, une des sociétés de casinos. Les braqueurs avaient bien choisi leurs dates pour leur commettre leur méfait.