«J’ai piraté les serveurs d’une grande banque», un hacker français témoigne (Episode 1)

Exclu Capital.

Kévin Tellier, chercheur en cybersécurité chez Synacktiv, une entreprise française spécialisée dans les tests d’intrusion, raconte comment il est parvenu à déjouer les systèmes de sécurité d’une grande banque, en Colombie. Premier épisode de son récit en 2 volets.

Vols de mots de passe, usurpation d'identité, manipulation du personnel... Pour percer la muraille numérique d'une grande banque, les hackers éthiques de Synacktiv ont déployé de nombreuses ruses. © Illustration beincrypto1.deeepik

Par Stéphane Barge, Chef d'enquête

Publié le 22 mai 2025 à 12h00. Mis à jour le 22 mai 2025 à 18h04.

Lecture : 2 min

Réservé aux abonnés

« En 2022, le responsable de la sécurité d’une banque colombienne nous a lancé un double défi. Il s’agissait de s’introduire dans son établissement, à la fois virtuellement en piratant ses serveurs, jusqu’à accéder aux comptes bancaires des clients pour déclencher des virements, mais aussi physiquement, en accédant au plus près des bureaux de la direction pour y fixer un implant, une sorte de mouchard électronique qui servirait ensuite à espionner le réseau informatique à distance. Pour chacun de ces objectifs, nous devions ramener un trophée, la preuve que nous étions parvenus à nos fins.

Dans notre jargon, on appelle ça une opération de Red Team. C’est un exercice de simulation d’attaque, qui vise à déjouer les procédures de sécurité d’une entreprise, sur le terrain comme sur les réseaux en mêlant techniques d’intrusion numérique, de manipulation du personnel et d’usurpation d’identité. Pour notre client, l’objectif de cet audit était d’évaluer la robustesse de ses procédures de sécurité, afin de remédier à d’éventuelles failles. A l’exception de quelques cadres, le personnel de la banque n’était pas informé de notre mission.

Haro sur les mots de passe des employés

Nous avons démarré de zéro, avec pour seule information le nom de la banque – que je ne peux dévoiler, cela fait partie des clauses de confidentialité dans notre contrat. Nous avons donc entamé une première phase de recherche en tentant de collecter un maximum d’informations sur cette banque, sa localisation, ses filiales, le nombre d’employés qui y travaillent, leur parc informatique, etc…

Nous sommes tombés sur une page web qui servait de portail d’entrée aux salariés, pour se connecter au réseau de la banque. Nous avons alors exploité une faille de sécurité qui nous a donné accès à la liste de tous les employés, avec leurs identifiants. Mais pour pouvoir nous connecter à leur place, il nous manquait les mots de passe. On est parvenu à en pirater plusieurs, en utilisant la technique dite de la "force brute", une méthode bien connue des pirates qui consiste à tester automatiquement, grâce à un logiciel, toutes les combinaisons possibles de mots de passe, jusqu’à trouver le bon.

Cela nous a permis de compromettre les comptes pour nous connecter sur le réseau interne de la banque. Mais on n’avait fait qu’une partie du chemin. Pour pouvoir accéder à l’ensemble du parc informatique, il nous fallait ensuite nous faire passer pour l’administrateur du réseau. Ça nous a pris 2 jours. A partir de là, nous avions accès à tous les ordinateurs du réseau ainsi qu’à toutes les boîtes emails des employés de la banque. Il ne nous restait plus qu’à repérer à travers le réseau notre cible finale, le serveur bancaire. Mais on a dû mettre en pause cet aspect cybersécurité de notre mission car notre client nous a contactés pour nous demander de nous rendre sur place, pour exécuter la deuxième volet de l’opération : les intrusions physiques.

Place à l'action, façon Ocean's Eleven

Je me suis donc envolé vers Bogota avec un collègue. Sur place, nous avons démarré une première phase de reconnaissance. Il a fallu voyager un peu dans le pays, car notre mission consistait à piéger à la fois le siège de la banque et plusieurs de ses succursales, basées dans différentes villes. A partir de là, on a décidé d’une stratégie. Pour nous le moyen le plus efficace de pénétrer les lieux, c’était de voler le badge d’un employé.

On a passé une bonne journée à l’hôtel à pénétrer à nouveau le réseau à distance pour accéder à de la documentation, dans le but d’en savoir plus sur leur système de badge, les noms des personnes qui les géraient, comment ils étaient créés, à quelles salles ils permettaient d’accéder, etc… C’était très compliqué, mais on a fini par télécharger un badge numérique sur notre smartphone, en faisant en sorte de s’arroger les droits pour entrer dans n’importe quelle salle. Très franchement, on n'était pas sûr du tout que ça fonctionne une fois sur place. Mais on s’est quand même jeté à l’eau, dès le lendemain...»

>> Découvrez la suite de son aventure dans le second épisode.

Ne manquez pas non plus notre article consacré aux cyber-chasseurs de primes, ces hackers éthiques qui gagnent leur vie en débusquant les failles de sécurité informatique. Une enquête à lire dans le nouveau numéro du mensuel Capital, disponible dès aujourd'hui en kiosque.

La suite est réservée aux abonnés

Abonnez-vous à Capital à partir de 1€ le premier mois