Une entreprise de maintenance et de construction industrielle du Tennessee qui a été touchée par un cyberbraquage de 327 000 $ poursuit son institution financière pour récupérer les fonds volés, accusant la banque de négligence et de rupture de contrat. Les observateurs de la cour disent que le procès – s’il aboutit à un procès – pourrait permettre aux victimes de cyberbraquage de récupérer plus facilement et à moindre coût les pertes.
En mai 2012, Kingsport, Tenn. Tennessee Electric Company Inc. (à présent TEC Industriel) a été la cible d’une prise de contrôle de compte d’entreprise qui a vu des cybervoleurs utiliser un réseau de plus de quatre douzaines de mules financières pour siphonner 327 804 $ des comptes de l’entreprise à Banque TriSommet.
TriSummit a pu récupérer environ 135 000 $ de ces transferts non autorisés, laissant Tennessee Electric avec une perte de 192 656 $. Plus tôt ce mois-ci, la société a poursuivi TriSummit devant un tribunal d’État, alléguant négligence, rupture de contrat, négligence grave et dissimulation frauduleuse.
Les deux sociétés ont refusé de commenter cette histoire. Mais comme le note la plainte de Tennessee Electric (PDF) (bien qu’en orthographiant mal mon nom), j’ai appelé Tennessee Electric le 10 mai 2012 pour alerter l’entreprise d’un éventuel cybercasse ciblant ses comptes. J’avais contacté l’entreprise après avoir parlé avec une mule financière qui avait reconnu avoir reçu des milliers de dollars tirés des comptes de l’entreprise au TriSummit.
Selon la plainte, les attaquants ont frappé pour la première fois le 8 mai, après que le contrôleur de Tennessee Electric a tenté, sans succès, de se connecter au site de la banque et de télécharger le lot de paie de cette semaine (généralement de 200 000 $ à 240 000 $ par semaine). Lorsque le contrôleur a appelé TriSummit pour s’enquérir des problèmes du site, la banque a déclaré que le site était probablement en cours de maintenance et que le contrôleur était invité à se rendre à l’agence bancaire locale et à y télécharger le fichier. C’est exactement ce que le contrôleur a fait en téléchargeant quatre lots de paie d’une valeur de 202 664,47 $.
[SIDE NOTE: When I spoke with Tennessee Electric’s controller back in 2012, the controller for the company told me she was asked for and supplied the output of a one-time token upon login. This would make sense given the controller’s apparent problems accessing the bank’s Web site. Cyber thieves involved in these heists typically use password-stealing malware to control what the victim sees in his or her browser; when a victim logs in at a bank that requires a one-time token, the malware will intercept that token and then redirect the victim’s browser to an error page or a “down for maintenance” message — all the while allowing the thieves to use the one-time token and the victim’s credentials to log in as the legitimate user.]
Le 9 mai, Tennessee Electric allègue que TriSummit Bank a appelé pour confirmer le lot de paie de 202 664,47 $ – conformément à un accord entre la banque et le service public qui demandait à la banque de vérifier verbalement tous les ordres de paiement par téléphone. Mais selon Tennessee Electric, la banque, pour une raison quelconque, avait déjà approuvé une ébauche de paie de 327 804 $ à envoyer à 55 comptes différents à travers les États-Unis – même si la banque n’aurait jamais appelé pour obtenir la vérification de cet ordre de paiement.
Tennessee Electric allègue que la banque n’a appelé pour demander l’approbation du lot frauduleux que le 10 mai, plus d’un jour après l’avoir approuvé et après avoir contacté Tennessee Electric pour leur faire savoir qu’ils avaient été volés par la cyber-mafia russe.
ANALYSE
Ce procès, s’il fait l’objet d’un procès, pourrait aider à établir une norme plus certaine et uniforme pour déterminer qui est en faute lorsque les entreprises sont touchées par des cyberbraquages (pour le meilleur ou pour le pire, la plupart de ces contestations judiciaires sont massivement orientées vers les banques et réglées tranquillement pour un fraction de la perte).
Les consommateurs qui effectuent leurs opérations bancaires en ligne sont protégés par Règlement Ece qui limite considérablement la responsabilité des consommateurs qui perdent de l’argent en raison d’une activité de compte en ligne non autorisée (à condition que la victime informe son institution financière de l’activité frauduleuse dans les 60 jours suivant la réception d’un relevé de compte contesté).
Les entreprises, cependant, ne bénéficient pas de telles protections. Les États de tout le pays ont adopté la Code de commerce uniforme (UCC), qui considère qu’un ordre de paiement reçu par le [bank] est « effective comme la commande du client, autorisée ou non, si la procédure de sécurisation est un moyen commercialement raisonnable de se protéger contre les ordres de paiement non autorisés, et que la banque prouve qu’elle a accepté l’ordre de paiement de bonne foi et conformément aux procédure de sécurité et tout accord écrit ou instruction du client restreignant l’acceptation des ordres de paiement émis au nom du client.
Selon les interprétations de l’UCC par les États, le maximum qu’une entreprise touchée par un cyberbraquage peut espérer récupérer est le montant qui a été volé. Cela signifie qu’il n’est généralement pas dans l’intérêt de l’entreprise de poursuivre sa banque à moins que le montant du vol ne soit assez élevé, car les frais de justice nécessaires pour gagner une bataille judiciaire peuvent rapidement égaler ou dépasser le montant volé.
De récents cas de cybercasses dans d’autres États ont apporté des résultats mitigés (bien que modestes) pour les plaignants. Mais Charisée Castagnoliprofesseur auxiliaire de droit à la École de droit John Marshall, a déclaré que ces décisions pourraient finir par aider le cas de Tennessee Electric car elles laissent ouverte la possibilité que les tribunaux puissent entendre l’une de ces affaires en utilisant autre chose qu’une interprétation stricte de l’UCC ou du droit des contrats – comme des réclamations pour fraude ou négligence. Et cela pourrait conduire les tribunaux à accorder des dommages-intérêts punitifs, qui peuvent souvent représenter plusieurs fois les pertes réelles du demandeur.
«Nous voyons toujours des avocats qui recherchent leur meilleur argument en termes de redressement financier, mais ce qu’ils recherchent vraiment, c’est un moyen de sortir cela de l’UCC et du droit des contrats, car en vertu de ceux-ci, vous n’obtenez que dommages réels », a déclaré Castagnoli. « Et il n’y a vraiment aucun moyen, en vertu de la théorie de l’UCC et du droit des contrats, d’appliquer une reprise économique qui incitera les banques à changer leur comportement. »
Plus récemment, par exemple, Choice Escrow & Land Title, basé au Missouri, a poursuivi en vain sa banque pour récupérer 440 000 $ volés lors d’un cyberbraquage en 2010. L’avocat de Choice n’a pas réussi à convaincre le premier tribunal que les procédures de sécurité en ligne de la banque n’étaient pas commercialement raisonnables. Une cour d’appel a confirmé cette décision et est allée plus loin en affirmant que la banque pouvait récupérer ses honoraires d’avocat auprès de Choice Escrow.
Dans le cas de Patco Constructionune entreprise du Maine qui a été touchée par un cybercasse de 588 000 $ en 2009, un tribunal inférieur a jugé que la garantie à la banque de Patco était commercialement raisonnable. Mais une cour d’appel de Boston a qualifié les systèmes de sécurité de la banque de « commercialement déraisonnables », renversant la décision du tribunal inférieur. Castagnoli a déclaré que la cour d’appel dans l’affaire Patco avait également laissé ouverte quelles étaient les obligations et les responsabilités de la victime en cas d’échec des mesures de sécurité de la banque.
«Même si, du point de vue d’une entreprise victime, il semble que l’affaire Patco est bonne et la décision Choice mauvaise, il peut y avoir suffisamment de bon langage dans ces deux affaires. [to help] Le cas de Tennessee Electric », a déclaré Castagnoli.« On pourrait penser qu’avec une loi harmonisée [like the UCC] qui existe dans les 50 États que nous aurions une certaine clarté en termes de droits de recouvrement des demandeurs dans ces cas, mais nous ne le faisons vraiment pas.
Vous gérez votre propre entreprise et votre propre banque en ligne, mais vous n’êtes pas disposé à accorder toute votre confiance à la sécurité en ligne de votre banque ? Envisagez d’adopter certains des conseils que j’ai énoncés dans les meilleures pratiques bancaires en ligne pour les entreprises et les opérations bancaires sur un CD en direct.