Capital One, le numéro trois des cartes bancaires aux Etats-Unis, a été victime d'une attaque informatique conduisant au vol de données de plus de 100 millions de clients ou prospects américains et canadiens. Une ancienne employée d'Amazon Web Services a été arrêtée : elle aurait exploité une faille d'une application web, lui permettant de communiquer avec le serveur sur lequel Capital One stockait ses informations. Ce qui soulève la question de la sécurité de l'informatique dans les nuages. Les données compromises n'étaient pas bancaires pour la plupart, mais des dizaines de millions de...
... os de comptes et de sécurité sociale se sont retrouvés exposés.
C'est l'une des plus vastes attaques informatiques touchant le secteur bancaire. Capital One, le troisième plus gros émetteur de cartes de crédit aux Etats-Unis, a annoncé lundi 29 juillet avoir été victime d'un piratage informatique massif concernant les données personnelles de plus de 100 millions de clients ou prospects américains et 6 millions de canadiens. Un peu moins d'un tiers de la population des Etats-Unis (327 millions de personnes) est donc concernée par ce piratage.
L'attaque a eu lieu entre le 12 mars et le 17 juillet de cette année et la brèche a été colmatée le 19 juillet après qu'un utilisateur du site internet GitHub ait contacté la banque via une adresse email, créée spécifiquement par Capital One pour que les internautes puissent lui signaler de potentielles vulnérabilités informatiques.
Capital One, dont le siège social est à Richmond, dans l'État de Virginie, a indiqué dans un communiqué de presse qu'un suspect avait été appréhendé lundi à Seattle par le FBI. Il s'agit de Paige Thompson, une ingénieure informatique âgée de 33 ans, ayant notamment travaillé chez Amazon Web Services, la branche de cloud computing (littéralement "informatique dans les nuages") du géant du e-commerce, dont est cliente Capital One.
Une ancienne employée d'Amazon Web Services suspectée
Selon les documents judiciaires, la pirate informatique présumée aurait exploité une faille d'un pare-feu sur une application web, lui permettant de communiquer avec le serveur sur lequel Capital One stockait ses informations. Actuellement en détention, elle encourt une peine de prison de 5 ans et une amende de 250.000 dollars. Une audience judiciaire est prévue à Seattle ce jeudi 1er août.
Paige Thompson ne cachait pas son "hacktivisme". Elle était référencée comme animatrice sur le réseau social MeetUp du groupe Seattle Warez Kiddies, dont la page web n'est plus accessible. Ce groupe était décrit comme "un collectif pour tous ceux qui aiment les systèmes distribués, la programmation, le piratage et le cracking", rapporte le New York Times. Le FBI s'est servi de son activité sur MeetUp pour retracer ses autres activités en ligne la reliant à des messages sur Twitter et sur la messagerie professionnelle instantanée Slack où elle se vantait d'avoir collecté ces données, détaille le quotidien américain. La hackeuse, qui évoluait en ligne sous le pseudo Erratic a même fini par déclarer sur Slack : "Je me suis piégée moi-même avec une ceinture d'explosifs".
Newsletter
Industrie et service
Chaque jour à 13h, l’essentiel de l’actualité industrielle.
"Peu" de données bancaires touchées
Les données volées l'ont été à partir des demandes de carte de crédit de particuliers et de petites entreprises auprès de Capital One entre 2005 et 2019. Les informations compromises correspondent aux noms, adresses postales, emails, numéros de téléphone, âges et revenus déclarés des personnes et entreprises ayant réalisé ces demandes. La hackeuse présumée a également obtenu des informations partielles sur des détenteurs de cartes de crédit, comme leur scoring de crédit, leurs soldes bancaires et leur historique de paiement.
"Aucun numéro de compte bancaire ou de sécurité sociale n'a été compromis à l'exception d'environ 140.000 numéros de sécurité sociale de nos clients détenteurs d'une carte de crédit et environ 80.000 comptes bancaires de nos clients détenteurs d'une carte de crédit sécurisé", indique Capital One dans le communiqué.
Pour les clients canadiens, près d'un million de numéros de sécurité sociale ont été piratés, précise la banque.
Aux États-Unis, le Social security number (SSN) constitue une donnée très sensible. Il s'agit d'un numéro à neuf chiffres remis à chaque citoyen, résident permanent ou travailleur temporaire. Même si son but premier est d'identifier les personnes aux fins de la sécurité sociale, le SSN est devenu de facto un numéro d'identification national pour la fiscalité et d'autres activités sur le territoire américain.
Des données trop longtemps conservées ?
"Il est peu probable que les informations volées aient été utilisées pour commettre une fraude ou aient été disséminées par l'individu. Toutefois, nous allons continuer à enquêter", affirme Capital One. Il n'empêche que ce vol reste d'une ampleur considérable. Son étendue est directement liée à la très longue période de conservation des données volées : 14 ans. Ces données ont-elles été conservées sur une période excessivement longue ?
En France, il n'existe pas de durée de conservation maximale prédéfinie, mais des règles de bonnes conduites. "Les données personnelles ne peuvent être conservées de façon indéfinie dans les fichiers informatiques : une durée de conservation doit donc être déterminée en fonction de l'objectif ayant conduit à la collecte de ces données. Une fois cet objectif atteint, ces données devraient être archivées, supprimées ou anonymisées (afin notamment de produire des statistiques)", explique sur son site la Commission nationale de l'informatique et des libertés (Cnil), renvoyant vers l'article 5 du règlement général sur la protection des données (RGPD), qui indique que les données à caractère personnel doivent être "conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées".
Le cloud computing en question
Ce piragate remet également en question la sécurité des dispositifs de cloud computing, qui consiste à déporter le stockage de données ou le traitement d'information dans des serveurs situés à distance, accessibles à la demande et en temps réel grâce à une connexion Internet. Cette pratique est très courante outre-Atlantique, mais dans l'Hexagone seules quelques banques ont sauté le pas, notamment Société Générale et BNP Paribas. Elles entendent migrer 80% de leur informatique dans le cloud à l'horizon 2020 pour la première et 2022 pour la seconde. Toutefois, les deux privilégient le cloud privé, c'est-à-dire l'utilisation de serveurs situés dans leurs propres centres de données et non dans les data centers des géants du web (Amazon, Google, Microsoft, IBM). Les deux banques expliquent ne pas vouloir mettre les données sensibles des clients dans le cloud public, pour des raisons de sécurité et d'image.
Ces précautions collent à la circonspection de l'Autorité de contrôle prudentiel et de résolution (ACPR), adossée à la Banque de France, qui estimait, dans une note de 2013, que le cloud computing présentait des risques supérieurs à l'informatique classique pour les établissements de crédit et les organismes d'assurance. L'Autorité bancaire européenne (EBA) exige d'ailleurs des banques qu'elles respectent un certain nombre de garde-fous et a émis une série de recommandations en mars 2018.
Des incidents à répétition
Ce n'est pas la première fois que Capital One fait face à des problèmes de sécurité informatique. En 2017, elle avait indiqué à ses clients qu'un ancien employé avait pu avoir accès pendant quatre mois à leurs données personnelles, dont leur numéro de compte, de téléphone, de sécurité sociale et leur historique de transactions, rappelle le New York Times. Une fuite similaire avait eu lieu en 2016. La banque, qui dispose d'une assurance contre les cyberattaques, indique que ce nouvel incident pourrait lui coûter entre 100 et 150 millions de dollars.
Hasard du calendrier, la révélation de ce piratage intervient quelques jours seulement après qu'Equifax, l'agence de crédit américaine, a écopé d'une amende pouvant aller jusqu'à 700 millions de dollars pour le vol de données de plus de 147 millions de clients, qu'elle n'avait pas révélé pendant plusieurs mois, en 2017. En France, en vertu du RGPD, les banques, comme les autres entreprises, sont tenues de notifier la Cnil dans un délai de 72 heures si un incident informatique constitue un risque au regard de la vie privée des personnes concernées. En cas de risque élevé, l'entreprise doit également notifier les personnes concernées.
L'urgence de la cybersécurité
Pour Zack Whittaker, un journaliste du site américain TechCrunch, l'attaque informatique dont a été victime Capital One n'a rien d'une surprise. C'était même "inévitable", écrit-il.
"Sur le plan législatif, rien n'a changé. Equifax demeure une victime aux yeux de la loi comme elle l'était auparavant - techniquement, mais au grand dam des millions de personnes touchées qui ont été forcées de geler leur crédit par la suite", regrette-t-il.
A l'échelle mondiale, les établissements financiers sont la cible de cyberattaques de plus en plus récurrentes et sophistiquées. Au cours d'une période de 15 mois à compter de juillet 2017, 66 incidents de sécurité informatique majeurs ont été signalés à la BCE. La première cyberattaque d'ampleur ciblant un établissement bancaire européen remonte à 2016. Les comptes de 40.000 clients de Tesco Bank, filiale de la chaîne de supermarchés britanniques, avaient été piratés, dont 20.000 auraient subi des retraits frauduleux. Il y a deux ans, les données bancaires de 400.000 clients de l'italien UniCredit avaient été piratées.
