Les banques du monde entier subissent d’importantes pannes, laissant des millions de clients dans la panade au pire moment qui soit

Vingt banques (dont certaines subissent des pannes répétées), six pays (dont un confiné), cinq continents, des dizaines de millions de clients mécontents.

Il n’y a jamais de bon moment pour que le système informatique de votre banque tombe en panne. Mais peu de choses peuvent être pires qu’au milieu d’un confinement. Il est difficile de sortir de chez soi, votre agence locale n’est peut-être pas ouverte et, par conséquent, vous êtes plus dépendant que jamais des services bancaires numériques. En Nouvelle-Zélande, qui en est à sa septième semaine de fermeture nationale, l’un des plus grands prêteurs du pays, Kiwibank, est tombé en panne mardi, laissant nombre de ses clients dans l’embarras. Cette panne fait partie d’une série de pannes informatiques subies par la banque au cours des trois dernières semaines, après qu’une attaque par déni de service (DDoS) contre le troisième fournisseur d’accès Internet de Nouvelle-Zélande a provoqué des pannes informatiques chez un certain nombre de prêteurs, dont la Commonwealth Bank et l’Anz Bank.

Lors d’une attaque DDoS, les pirates saturent un site en faisant en sorte qu’un grand nombre de robots s’y connectent en même temps, ce qui le rend inaccessible. Les serveurs ne sont pas violés, les données ne sont pas volées, mais l’attaque peut tout de même causer de nombreuses perturbations.

24 millions de clients mécontents

La Nouvelle-Zélande n’est pas le seul pays à avoir subi des pannes majeures au sein de son système bancaire ces dernières semaines. Parmi les autres pays, citons le Royaume-Uni, le Japon, l’Afrique du Sud, le Venezuela et le Mexique, mais il y en a sans doute d’autres (si vous en connaissez, ce serait formidable si vous pouviez fournir des détails dans la section des commentaires).

Le 12 septembre, des défaillances de fonctionnement de la plus grande banque du Mexique, BBVA Mexico, ont empêché 24 millions de titulaires de comptes d’utiliser les 13 000 guichets automatiques de la banque, son application mobile ou les paiements en magasin pendant près de 20 heures. Comme il s’agit d’un dimanche, les clients n’ont même pas pu profiter des services de paiement en agence du prêteur. La banque a imputé la panne à un problème de mise à jour du système et a proposé aux clients de les dédommager en leur offrant des bonus en espèces sur leurs achats lorsqu’ils utilisent leurs cartes de crédit ou de débit. La banque a également tenu à leur assurer que leurs données financières n’avaient pas été compromises.

« Cela n’avait rien à voir avec le monde extérieur », a déclaré Jorge Terrazas, directeur de la communication et de l’identité d’entreprise de la banque. « Les informations de la banque et de ses clients sont sécurisées. Ce que nous avons fait, c’est annuler les changements apportés au système et tout remettre en l’état. »

Moins d’une semaine après la panne de BBVA, Santander Mexico, une autre banque mexicaine à capitaux espagnols, a subi une panne qui a empêché les clients de tout le pays d’utiliser leur carte de débit aux guichets automatiques ou dans les magasins. Là encore, la panne a été imputée à des problèmes internes.

Ces dernières années, le Mexique est devenu un marché important pour les données volées – suffisamment pour lui valoir la huitième place mondiale en termes d’usurpation d’identité, selon la banque centrale du pays, Banco de Mexico (Banxico en abrégé). Cette situation résulte en partie de l’impunité généralisée dont jouissent les cybercriminels dans le pays, en raison du manque d’application des lois existantes et de l’absence d’outils juridiques adéquats. Au Mexique, le vol informatique n’est pas seulement l’apanage de hackers isolés vivant dans des sous-sols, mais aussi d’organisations criminelles hautement professionnelles.

Même le système de transfert interbancaire SPEI de Banxico, une itération du système de paiement mondial SWIFT, a été la cible de casses numériques, comme le rapporte WIRED :

En janvier 2018, un groupe de pirates, dont on pense maintenant qu’ils travaillent pour le groupe Lazarus, parrainé par l’État nord-coréen, a tenté de voler 110 millions de dollars à la banque commerciale mexicaine Bancomext. Cette tentative a échoué. Quelques mois plus tard, une série d’attaques moins importantes, mais tout aussi élaborées, a permis à des pirates informatiques de siphonner 300 à 400 millions de pesos, soit environ 15 à 20 millions de dollars, à des banques mexicaines. [Cliquez ici pour savoir comment ils s’y sont pris.]

Depuis lors, les banques mexicaines ont subi des pannes répétées, dont l’une des plus importantes a eu lieu l’année dernière pendant le « Buen Fin », un événement commercial national annuel inspiré du Black Friday. Les sites Web et les applications mobiles de plusieurs grandes banques du pays, dont BBVA et Citibanamex, se sont effondrés le jour même, laissant de nombreux clients dans l’incapacité de finaliser leurs achats.

« Une tendance croissante »

Au Royaume-Uni, la Financial Conduct Authority est « profondément préoccupée » par le nombre croissant de pannes technologiques depuis plusieurs années. Lors de la réunion publique annuelle de la FCA en 2019, la directrice exécutive de la supervision du régulateur, Megan Butler, a déclaré que le nombre d’incidents de « ruptures de résilience des opérations » signalés en termes de défaillances informatiques avait augmenté de 300 % d’une année sur l’autre. Et il s’agirait probablement, selon elle, d’une « tendance croissante », bien qu’elle soit en partie due à l’augmentation des signalements d’événements.

Le 22 juillet de cette année, les sites web de six grandes banques et sociétés de crédit immobilier – Lloyds, HSBC, TESCO Bank, Bank of Scotland, Halifax et Barclays – ont été mis hors service par une panne Internet mondiale qui aurait été causée par une mise à jour logicielle bâclée du service d’hébergement Akamai. Moins d’un mois plus tard, les applications de cinq prêteurs et sociétés de crédit immobilier – Natwest, TESCO Bank, TSB, Santander UK et Halifax – sont toutes tombées en panne en l’espace de quelques jours. La panne, apparemment déclenchée par un problème avec la société de paiement américaine TSYS, a empêché les consommateurs d’accéder à leurs services de carte de crédit et à leurs informations de compte. Depuis lors, HSBCBarclays Bank et la Cooperative Bank ont toutes connu de brèves pannes.

Certaines pannes peuvent durer beaucoup plus longtemps et perturber bien davantage la vie des gens. En 2018, la migration informatique bâclée de la filiale britannique TSB de Banco Sabadell – qualifiée de « plus grand désastre informatique de l’histoire bancaire britannique » – a empêché des centaines de milliers de clients d’accéder à leurs comptes en ligne pendant des semaines. Certains clients ont subi des pertes financières. Beaucoup ont vu leur cote de crédit se détériorer en conséquence directe. Les entreprises clientes n’ont pas pu payer leurs factures ou leurs salaires, et des paiements hypothécaires n’ont pas été effectués. Plus de 1 300 clients ont été victimes d’attaques frauduleuses. La crise a coûté à Sabadell des centaines de millions de livres, 80 000 clients et un PDG. Elle a probablement contribué à faire échouer le rachat de Sabadell par BBVA à la fin de l’année dernière.

« Une cyberattaque intense et agressive »

À près de 8 000 km miles du Royaume-Uni, de l’autre côté de l’Atlantique, 16 millions de clients de la plus grande banque du Venezuela, Banco de Venezuela, ont récemment dû endurer cinq jours sans la plateforme en ligne de la banque. Comme cela a tendance à se produire dans ces cas-là, la panne est devenue évidente lorsque les clients de la banque ont commencé à exprimer leur colère sur les médias sociaux. Lorsque la plateforme a finalement été rétablie, le 20 septembre, la vice-présidente du Venezuela, Delcy Rodríguez, a rejeté la faute sur le gouvernement américain, qu’elle a accusé d’avoir lancé une cyberattaque « intense et agressive » contre le système informatique de la banque.

Cette attaque visait apparemment à faire échouer le projet de Caracas de lancer une nouvelle monnaie, qui a été mise en circulation aujourd’hui (1er octobre) avec six zéros en moins. Il est impossible de dire si les allégations de Rodríguez sont vraies ou non, mais Washington en a certainement la capacité et la forme. De plus, elle est engagée dans une guerre économique sans merci contre le Venezuela.

Parfois, c’est la fréquence plutôt que la durée des pannes qui constitue le plus gros problème pour les clients des banques. Hier (30 septembre), la Mizuho Bank, l’une des trois grandes banques japonaises, a connu sa huitième panne de système informatique depuis le début de l’année, soit presque une par mois. Le dernier épisode en date est un dysfonctionnement du système qui a retardé certaines opérations de change. Les pannes de système de Mizuho remontent à près de vingt ans et ont été largement imputées à son incapacité à intégrer les cultures et les systèmes issus de la triple fusion de la Dai-ichi Kangyo Bank, de la Fuji Bank et de l’IBJ, qui a donné naissance à la banque il y a 21 ans. La banque a déjà dépensé 3,6 milliards de dollars pour tenter de résoudre ces problèmes, mais sans grand résultat apparent.

Les fusions de grandes banques ont tendance à laisser derrière elles de graves problèmes de systèmes informatiques, comme Clive et moi-même l’avons souligné dans un article de Naked Capitalism publié en décembre de l’année dernière. C’est particulièrement vrai dans le cas des fusions transfrontalières. L’une des principales raisons en est que de nombreuses banques fonctionnent encore en grande partie sur des systèmes patrimoniaux grinçants construits dans les années 1970, ce qui rend pratiquement impossible la fusion des systèmes informatiques sans accumuler de gros problèmes plus tard. Dans le cadre d’une enquête menée en 2019 par le Treasury Select Committee sur ce qui a mal tourné à Banco Sabadell, il a été demandé à Alison Barker, directrice de la supervision spécialisée de la Financial Conduct Authority, dans quelle mesure les systèmes existants sont encore utilisés dans le secteur de la banque de détail au Royaume-Uni. Voici ce qu’elle a répondu :

« C’est encore assez largement le cas, je le crains… certains systèmes assez centraux sont encore exécutés sur des systèmes hérités. Ils utilisent encore du code datant des années 1970 sur certains de ces systèmes, et ils ont simplement construit par-dessus. »

Pourtant, bon nombre de ces mêmes banques tentent toujours de concurrencer des challengers plus jeunes, plus petits et à pied d’œuvre, dont les systèmes informatiques sont beaucoup plus modernes et flexibles. Et cela pose de sérieux problèmes.

Fragilité inhérente aux systèmes existants

« Si vous êtes une grande banque de détail au Royaume-Uni, vous avez probablement affaire à des systèmes hérités », a déclaré à l’enquête le directeur général adjoint de la Prudential Regulation Authority, Lyndon Nelson. Mais lorsque les entreprises fintech ajoutent de nouvelles fonctionnalités à leurs apps, elles tiennent à faire de même « pour des raisons de concurrence ».

M. Nelson a ajouté que, même si certaines banques prévoient d’éliminer progressivement leurs anciens systèmes, il faut être un directeur technique courageux pour l’envisager, en raison du risque inhérent au changement de système. La tentative désastreuse de Sabadell de mettre à niveau le système de TSB n’aura guère encouragé les autres à faire de même. Comme l’a récemment noté S&P Global, les changements informatiques bâclés sont l’un des principaux responsables des pannes et des perturbations dans les institutions financières britanniques. Un recours excessif à l’externalisation pourrait aggraver les problèmes.

Un autre problème souligné par Nelson (et NC bien avant en 2016) est qu’il reste peu de programmeurs capables d’utiliser le COBOL, le principal langage de programmation utilisé dans les systèmes hérités des banques. Selon Nelson, cette situation a amené de nombreux responsables informatiques des banques à se poser la question suivante : « Combien de fois par semaine pouvons-nous modifier une application sans qu’elle ne s’effondre ? ».

Lorsqu’une application bancaire « tombe » ou qu’un système informatique tombe en panne, cela peut laisser le chaos dans son sillage. Il y a dix ans, la Mizhuo Bank a subi une panne qui a retardé les transferts d’argent à la suite du tremblement de terre et du tsunami du Grand Est du Japon. Sa septième panne cette année, début septembre, a apparemment été la goutte d’eau qui a fait déborder le vase pour les régulateurs financiers japonais, qui ont demandé à la Mizuho de soumettre un plan de travail pour la maintenance et la mise à jour du système, « dans une démarche rare pour superviser efficacement le système d’une mégabanque », rapporte Kyodo News.

La Standard Bank, le plus grand établissement de crédit d’Afrique du Sud, est une autre banque en proie à des problèmes informatiques répétés. À la fin du mois d’avril, la banque a connu des « problèmes matériels » qui ont mis hors service ses canaux Internet, mobiles et ATM pendant plus d’une semaine, laissant les clients dans l’incapacité de payer leurs factures ou d’accéder à des liquidités. Début septembre, l’application mobile de la banque était à nouveau hors service, ce qui a causé bien des soucis aux clients. Mardi de cette semaine, l’application mobile d’une autre banque sud-africaine, Capitec, est également tombée en panne.

Toutes ces pannes bancaires ont des causes diverses, qu’il s’agisse de problèmes internes au système informatique d’une banque (Mizuho, Sabadell), d’une mise à jour bâclée (BBVA), d’une cyberattaque (Kiwibank) ou de l’arrêt d’un service d’hébergement (l’effondrement des sites web des banques dans le monde entier le 22 juillet). Mais ils soulignent tous la fragilité inhérente des systèmes informatiques des banques, à une époque où de nombreuses personnes utilisent de moins en moins d’argent liquide et deviennent de plus en plus dépendantes des services bancaires numériques.

Source : https://www.aubedigitale.com/les-banques-du-monde-entier-subissent-dimportantes-pannes-laissant-des-millions-de-clients-dans-la-panade-au-pire-moment-qui-soit/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.