Piratage bancaire : comment 100 millions de personnes ont été touchées par un vol de données

 |   |  1605  mots
(Crédits : Capital One)
Capital One, le numéro trois des cartes bancaires aux Etats-Unis, a été victime d'une attaque informatique conduisant au vol de données de plus de 100 millions de clients ou prospects américains et canadiens. Une ancienne employée d'Amazon Web Services a été arrêtée : elle aurait exploité une faille d'une application web, lui permettant de communiquer avec le serveur sur lequel Capital One stockait ses informations. Ce qui soulève la question de la sécurité de l'informatique dans les nuages. Les données compromises n'étaient pas bancaires pour la plupart, mais des dizaines de millions de numéros de comptes et de sécurité sociale se sont retrouvés exposés.

C'est l'une des plus vastes attaques informatiques touchant le secteur bancaire. Capital One, le troisième plus gros émetteur de cartes de crédit aux Etats-Unis, a annoncé lundi 29 juillet avoir été victime d'un piratage informatique massif concernant les données personnelles de plus de 100 millions de clients ou prospects américains et 6 millions de canadiens. Un peu moins d'un tiers de la population des Etats-Unis (327 millions de personnes) est donc concernée par ce piratage.

L'attaque a eu lieu entre le 12 mars et le 17 juillet de cette année et la brèche a été colmatée le 19 juillet après qu'un utilisateur du site internet GitHub ait contacté la banque via une adresse email, créée spécifiquement par Capital One pour que les internautes puissent lui signaler de potentielles vulnérabilités informatiques.

Capital One, dont le siège social est à Richmond, dans l'État de Virginie, a indiqué dans un communiqué de presse qu'un suspect avait été appréhendé lundi à Seattle par le FBI. Il s'agit de Paige Thompson, une ingénieure informatique âgée de 33 ans, ayant notamment travaillé chez Amazon Web Services, la branche de cloud computing (littéralement "informatique dans les nuages") du géant du e-commerce, dont est cliente Capital One.

Une ancienne employée d'Amazon Web Services suspectée

Selon les documents judiciaires, la pirate informatique présumée aurait exploité une faille d'un pare-feu sur une application web, lui permettant de communiquer avec le serveur sur lequel Capital One stockait ses informations. Actuellement en détention, elle encourt une peine de prison de 5 ans et une amende de 250.000 dollars. Une audience judiciaire est prévue à Seattle ce jeudi 1er août.

Paige Thompson ne cachait pas son "hacktivisme". Elle était référencée comme animatrice sur le réseau social MeetUp du groupe Seattle Warez Kiddies, dont la page web n'est plus accessible. Ce groupe était décrit comme "un collectif pour tous ceux qui aiment les systèmes distribués, la programmation, le piratage et le cracking", rapporte le New York Times. Le FBI s'est servi de son activité sur MeetUp pour retracer ses autres activités en ligne la reliant à des messages sur Twitter et sur la messagerie professionnelle instantanée Slack où elle se vantait d'avoir collecté ces données, détaille le quotidien américain. La hackeuse, qui évoluait en ligne sous le pseudo Erratic a même fini par déclarer sur Slack : "Je me suis piégée moi-même avec une ceinture d'explosifs".

"Peu" de données bancaires touchées

Les données volées l'ont été à partir des demandes de carte de crédit de particuliers et de petites entreprises auprès de Capital One entre 2005 et 2019. Les informations compromises correspondent aux noms, adresses postales, emails, numéros de téléphone, âges et revenus déclarés des personnes et entreprises ayant réalisé ces demandes. La hackeuse présumée a également obtenu des informations partielles sur des détenteurs de cartes de crédit, comme leur scoring de crédit, leurs soldes bancaires et leur historique de paiement.

"Aucun numéro de compte bancaire ou de sécurité sociale n'a été compromis à l'exception d'environ 140.000 numéros de sécurité sociale de nos clients détenteurs d'une carte de crédit et environ 80.000 comptes bancaires de nos clients détenteurs d'une carte de crédit sécurisé", indique Capital One dans le communiqué.

Pour les clients canadiens, près d'un million de numéros de sécurité sociale ont été piratés, précise la banque.

Aux États-Unis, le Social security number (SSN) constitue une donnée très sensible. Il s'agit d'un numéro à neuf chiffres remis à chaque citoyen, résident permanent ou travailleur temporaire. Même si son but premier est d'identifier les personnes aux fins de la sécurité sociale, le SSN est devenu de facto un numéro d'identification national pour la fiscalité et d'autres activités sur le territoire américain.

Des données trop longtemps conservées ?

"Il est peu probable que les informations volées aient été utilisées pour commettre une fraude ou aient été disséminées par l'individu. Toutefois, nous allons continuer à enquêter", affirme Capital One. Il n'empêche que ce vol reste d'une ampleur considérable. Son étendue est directement liée à la très longue période de conservation des données volées : 14 ans. Ces données ont-elles été conservées sur une période excessivement longue ?

En France, il n'existe pas de durée de conservation maximale prédéfinie, mais des règles de bonnes conduites. "Les données personnelles ne peuvent être conservées de façon indéfinie dans les fichiers informatiques : une durée de conservation doit donc être déterminée en fonction de l'objectif ayant conduit à la collecte de ces données. Une fois cet objectif atteint, ces données devraient être archivées, supprimées ou anonymisées (afin notamment de produire des statistiques)", explique sur son site la Commission nationale de l'informatique et des libertés (Cnil), renvoyant vers l'article 5 du règlement général sur la protection des données (RGPD), qui indique que les données à caractère personnel doivent être "conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées".

Le cloud computing en question

Ce piragate remet également en question la sécurité des dispositifs de cloud computing, qui consiste à déporter le stockage de données ou le traitement d'information dans des serveurs situés à distance, accessibles à la demande et en temps réel grâce à une connexion Internet. Cette pratique est très courante outre-Atlantique, mais dans l'Hexagone seules quelques banques ont sauté le pas, notamment Société Générale et BNP Paribas. Elles entendent migrer 80% de leur informatique dans le cloud à l'horizon 2020 pour la première et 2022 pour la seconde. Toutefois, les deux privilégient le cloud privé, c'est-à-dire l'utilisation de serveurs situés dans leurs propres centres de données et non dans les data centers des géants du web (Amazon, Google, Microsoft, IBM). Les deux banques expliquent ne pas vouloir mettre les données sensibles des clients dans le cloud public, pour des raisons de sécurité et d'image.

Lire aussi : Pourquoi les banques cèdent aux sirènes du « cloud »

Ces précautions collent à la circonspection de l'Autorité de contrôle prudentiel et de résolution (ACPR), adossée à la Banque de France, qui estimait, dans une note de 2013, que le cloud computing présentait des risques supérieurs à l'informatique classique pour les établissements de crédit et les organismes d'assurance. L'Autorité bancaire européenne (EBA) exige d'ailleurs des banques qu'elles respectent un certain nombre de garde-fous et a émis une série de recommandations en mars 2018.

Des incidents à répétition

Ce n'est pas la première fois que Capital One fait face à des problèmes de sécurité informatique. En 2017, elle avait indiqué à ses clients qu'un ancien employé avait pu avoir accès pendant quatre mois à leurs données personnelles, dont leur numéro de compte, de téléphone, de sécurité sociale et leur historique de transactions, rappelle le New York Times. Une fuite similaire avait eu lieu en 2016. La banque, qui dispose d'une assurance contre les cyberattaques, indique que ce nouvel incident pourrait lui coûter entre 100 et 150 millions de dollars.

Hasard du calendrier, la révélation de ce piratage intervient quelques jours seulement après qu'Equifax, l'agence de crédit américaine, a écopé d'une amende pouvant aller jusqu'à 700 millions de dollars pour le vol de données de plus de 147 millions de clients, qu'elle n'avait pas révélé pendant plusieurs mois, en 2017. En France, en vertu du RGPD, les banques, comme les autres entreprises, sont tenues de notifier la Cnil dans un délai de 72 heures si un incident informatique constitue un risque au regard de la vie privée des personnes  concernées. En cas de risque élevé, l'entreprise doit également notifier les personnes concernées.

L'urgence de la cybersécurité

Pour Zack Whittaker, un journaliste du site américain TechCrunch, l'attaque informatique dont a été victime Capital One n'a rien d'une surprise. C'était même "inévitable", écrit-il.

"Sur le plan législatif, rien n'a changé. Equifax demeure une victime aux yeux de la loi comme elle l'était auparavant - techniquement, mais au grand dam des millions de personnes touchées qui ont été forcées de geler leur crédit par la suite", regrette-t-il.

A l'échelle mondiale, les établissements financiers sont la cible de cyberattaques de plus en plus récurrentes et sophistiquées. Au cours d'une période de 15 mois à compter de juillet 2017, 66 incidents de sécurité informatique majeurs ont été signalés à la BCE. La première cyberattaque d'ampleur ciblant un établissement bancaire européen remonte à 2016. Les comptes de 40.000 clients de Tesco Bank, filiale de la chaîne de supermarchés britanniques, avaient été piratés, dont 20.000 auraient subi des retraits frauduleux. Il y a deux ans, les données bancaires de 400.000 clients de l'italien UniCredit avaient été piratées.

En mai dernier, le ministre de l'Economie Bruno Le Maire, et le patron de la cybersécurité française, Guillaume Poupard, avaient appelé, dans le cadre du G7 financesà plus de coordination entre les différentes banques pour faire face aux attaques informatiques de plus en plus virulentes et se protéger d'un risque systémique.

(avec AFP)

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 01/08/2019 à 17:51 :
On nous dira sans cesse qu'il n'y a pas "assez de sécurité" et nous faire croire qu'un jour il n'y aura de "plus de problème". Alors que, ce jour là, il n'y aura plus d'informatique! L'informatique génère des données inutiles qui imposent une capacité mémoire, de traitement et de transmission chaque fois supérieures sans compter la dépense énergique ce qui n'en fait pas un progrès mais un marasme!
a écrit le 31/07/2019 à 14:19 :
"littéralement "informatique dans les nuages"

Faire confiance à un nuage ,ah,ah ,en fin de compte tout dépend de l'opacité de la couche.
Réponse de le 31/07/2019 à 15:16 :
Ou est le probleme avec le cloud? En quoi exactement est-il moins sur que le on-premise? La security eat quasi identique a mettre en place. Sauf que Les enterprises utilisatrices n'investissent pas Dan's Les competences necessaries qui don't tres chers. En exchange, ils rejetent la faire sur le cloud.
L'article eat a charge contre le cloud. Alors que le probleme n' a rien a voir avec.
Réponse de le 31/07/2019 à 15:35 :
C'est vrai, faut être complètement idiot pour faire confiance à un nuage sans la moindre sécurité réelle et fiable. Un nuage... Tiens... C'est comme si on faisait confiance au vent que soufflent les politiciens de tous bords. Faudrait être totalement décérébré pour faire confiance à des voleurs et/ou corrompus, champions de toutes les fake news. Bah ! Faire du vent, ça les occupe et ça fait blablater la populace au comptoir du café du commerce. C'est du niveau des politiciens en place... et de leurs électeurs...
a écrit le 31/07/2019 à 12:06 :
Il faudrait payer correctement les informaticiens qui s'occupent de la securite dans le cloud. La responsabilite de la securisation des donnees dans le cloud appartient aux entreprises qui l'utilisent.
C'est tres facile de montrer du doigt les operateurs cloud. Ils offrent les moyens pour securiser tout type de donnee. Encore il faut avoir les specialistes pour les utiliser.
Je pense que les banques (et non-seulement) n'investissent pas assez dans les competences necessaires. Elles se contentent de recycler leurs employes.
Réponse de le 31/07/2019 à 13:07 :
Vous vous trompez complètement de problème. S'il est possible de programmer des mesures de pseudo-sécurité, il est au moins aussi facile de les contourner ou de les pirater. ce qui se fait peut très aisément se défaire. Que ce soit dans le cloud qui n'offre aujourd'hui aucune garantie sérieuse et fiable de sécurité qu'ailleurs. Peu importe que ce soit les opérateurs numériques ou les banques qui soient responsables d'une très illusoire et utopique sécurité. le vrai danger, c'est le numérique. Et si les banques n'investissent pas assez dans les compétences nécessaires, comme vous dites, je vous rassure tout de suite : les vraies compétences se trouvent ailleurs, du côté des talentueux hackers qui sont très souvent beaucoup plus performants que les informaticiens "officiels". La seule véritable sécurité n'est offerte que par le cash qui n'empêche pas plus une pseudo "fraude fiscale" que le numérique (CB, transferts et autres). Affirmer comme font certains politiciens très douteux que le cash est une machine à blanchiment est une fake news assénée par des voyous qui veulent vous escroquer et vous fliquer. Mais bon : le cash ne permet pas aux banques de mettre la main et d'être maîtres de votre argent, voire de le détourner oud e le voler. Il ne permet pas non plus aux politiciens de vous fliquer et de vous tenir solidement muselé, en laisse. privilégier le cash, c'est un vrai geste pro-démocratique. Un geste citoyen en lutte légitime et morale contre les politiques totalitaires et liberticides.
Réponse de le 31/07/2019 à 15:32 :
Soyons clair : la sécurité informatique et numérique n'existe pas. Et elle n'existera jamais. Car s'il existe des moyens de créer et développer des très illusoires mesures de sécurité (allons donc !), il est au moins aussi facile de les contourner. Si on parvient à développer un programme dans un sens, il est tout aussi possible de le développer en sens contraire. C'est le boulot des hackers et il en existe des tonnes de très, très talentueux. Les banques qui nous vantent les sécurités informatiques et numériques mentent. Tout comme les politiciens (alors, en plus, des politiciens issus du monde bancaire, faut pas demander le niveau de corruption !) qui n'ont qu'une seule idée en tête : vous emprisonner dans l'argent électronique pour mieux vous espionner, vous traquer comme des bêtes (mais il faut vraiment l'être pour utiliser ces modes de paiement !) et vous emprisonner chaque jour davantage dans des états de non-droit, 100 % liberticides. Et il ne faut pas aller loin pour en découvrir un, vous savez, entre Lille et Marseille. En voilà un bon exemple !
a écrit le 31/07/2019 à 9:12 :
Ce n'est plus un secret pour personne, même si les banques (qui y ont tout intérêt pour vous tenir prisonniers et avoir la main sur votre pognon) et les politiciens en place (qui veulent surtout vous fliquer et vous emprisonner chaque jour davantage) prétendent le contraire, champions des fake news. D'après les données officielles que l'on trouve facilement (à condition de ne pas être un gogo décérébré ou un pitoyable nervi du pouvoir en place), la forme monétaire qui est la plus sécurisante est le cash. La plus dangereuse est représentée par les paiements électroniques sous toutes leurs formes. D'ailleurs, dans nombre de pays (réellement) civilisés, c'est le cash qui est intelligemment privilégié. Pour d'évidentes raisons de sécurité (les paiements et transactions électroniques n'ont jamais empêché la moindre "fraude" fiscale, contrairement à ce que prétendent les antidémocrates qui veulent vous tenir solidement en laisse) et parce que le but final n'est pas de vous enferrer dans un état policier, totalitaire et antidémocratique. Et donc : vive le cash. Quoiqu'osent prétendre les banques (qui n'en sont plus à une escroquerie près) et les politiciens corrompus et despotes (même remarque) qui vous bourrent le mou.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :