Imaginez un cambrioleur qui entre dans un bâtiment ultra-sécurisé, s’installe dans les murs, écoute tout, copie ce qu’il veut — et repart quatorze mois plus tard sans laisser la moindre trace visible. C’est, à peu près, ce que le groupe de hackers russophones connu sous le nom de MoneyTaker a réussi à faire au sein de plusieurs institutions financières européennes. Pas avec des explosifs ni des cartes magnétiques volées. Avec du code. Du code invisible, précisément conçu pour ne pas exister là où les systèmes de sécurité cherchent habituellement.
MoneyTaker n’est pas un nom que le grand public connaît bien, et c’est en partie intentionnel — de leur côté comme de celui des institutions qui ont été touchées. Ce groupe, actif depuis plusieurs années et lié à des opérateurs russophones, a construit sa réputation dans les cercles de la cybersécurité sur une spécialité particulièrement redoutable : la patience.
Là où d’autres groupes s’introduisent, volent vite et repartent, MoneyTaker s’installe. Selon les chercheurs en sécurité qui ont documenté leurs activités, certaines de leurs intrusions ont duré jusqu’à dix-huit mois sans déclencher la moindre alarme. Ce chiffre mérite qu’on s’y arrête une seconde. Dix-huit mois à l’intérieur de systèmes bancaires. En silence.
| Informations clés — Cyberattaque MoneyTaker | |
| Groupe impliqué | MoneyTaker — groupe russophone spécialisé dans l’infiltration de systèmes financiers |
|---|---|
| Durée d’infiltration | Jusqu’à 18 mois sans détection dans certains cas documentés |
| Cibles principales | 15 banques aux États-Unis, plusieurs institutions en Russie, et des systèmes au Royaume-Uni |
| Méthode utilisée | Malware sans fichier (fileless malware) résidant uniquement en mémoire vive — invisible aux antivirus traditionnels |
| Infrastructure | Architecture distribuée conçue pour contourner les systèmes de détection |
| Contexte réglementaire européen | |
| Avertissements officiels | La Banque Centrale Européenne a émis plusieurs alertes sur les menaces liées à des groupes soutenus par des États |
| Groupe lié à l’État | Fancy Bear (APT28) — groupe parrainé par l’État russe ciblant gouvernements et infrastructures critiques européens |
| Organisme de surveillance | Europol Cybercrime Centre (EC3) — publie des rapports réguliers sur les menaces cybercriminelles en Europe |
| Niveau de menace actuel | Élevé — les régulateurs européens considèrent les infrastructures financières comme cibles prioritaires des cyberattaques étatiques russes |
La technique qui rend cela possible s’appelle le fileless malware — un logiciel malveillant qui ne s’installe pas sur le disque dur d’une machine, mais réside uniquement dans sa mémoire vive. C’est une distinction qui peut sembler technique, presque abstraite. Mais ses conséquences sont concrètes et assez déstabilisantes. Les antivirus traditionnels, les scanners de fichiers, les outils de détection classiques — tout cela cherche des traces physiques sur les disques.
Si rien n’est écrit, rien n’est trouvé. Les intrus circulent alors librement dans les couloirs numériques d’une banque centrale, consultant les flux, observant les protocoles, cartographiant les systèmes. Et personne, dans les open spaces climatisés des équipes de sécurité informatique, ne voit quoi que ce soit d’anormal sur ses écrans.
Pour compléter le dispositif, MoneyTaker a déployé une infrastructure distribuée — une architecture délibérément fragmentée, répartie sur de nombreux serveurs intermédiaires, rendant quasiment impossible de remonter directement à la source. C’est le genre de sophistication qui ne s’improvise pas. Cela demande des ressources, du temps, et probablement une certaine tranquillité d’esprit quant aux risques d’être arrêté. Cela pose une question que peu de gens dans le monde des institutions financières aiment formuler trop clairement : est-ce que ces groupes opèrent avec une forme de protection implicite ?
La Banque Centrale Européenne ne répond pas à cette question directement — du moins pas publiquement. Mais elle a, au fil des dernières années, multiplié les avertissements sur les menaces liées à des groupes soutenus par des États.
Fancy Bear, également connu sous le nom d’APT28 et largement attribué aux services de renseignement militaire russes, figure régulièrement dans ces mises en garde. Ce groupe-là cible des gouvernements, des industries critiques, des infrastructures d’information stratégique. MoneyTaker, lui, s’est plutôt spécialisé dans l’argent — au sens littéral. Quinze banques américaines, des établissements russes, des systèmes britanniques. Et, selon les informations disponibles, des institutions du continent européen.
Il est difficile de ne pas ressentir une certaine gêne en lisant le détail de ces opérations. Non pas à cause de leur technicité — mais parce qu’elles révèlent une faille systémique que l’on préfère généralement ne pas regarder en face. Les banques centrales sont, dans l’imaginaire collectif, des forteresses. Des endroits où la sécurité est une obsession, où des équipes entières passent leurs journées à anticiper les scénarios les plus extrêmes. Et pourtant. Quatorze mois. Dans certains cas, dix-huit.
L’Europol et son Centre européen de lutte contre la cybercriminalité publient régulièrement des rapports sur l’évolution de ces menaces. Ces documents sont précis, bien documentés, et largement ignorés par le grand public. Il est vrai qu’ils sont difficiles à rendre urgents — tant que rien d’apparent ne s’est produit, que les guichets automatiques fonctionnent et que les virements passent, la cybersécurité bancaire reste un sujet d’experts. Mais ce que des groupes comme MoneyTaker ont démontré, c’est que l’absence de visibilité n’est pas une absence de danger. C’est parfois exactement le contraire.
Il est encore trop tôt pour dire avec certitude quelles données ont été compromises, quelles décisions politiques ou monétaires ont pu être observées en temps réel par des yeux non autorisés. Les institutions concernées communiquent peu — par prudence ou par calcul, difficile à dire. Ce qui est clair, en revanche, c’est que la question n’est plus de savoir si les systèmes financiers européens peuvent être infiltrés. La réponse à cette question est déjà connue. La vraie question, désormais, est de savoir combien d’intrus sont encore là, installés dans la mémoire, attendant.
