BFM Business

Nouveau piratage massif d’une banque américaine

-

- - AFP

Les données personnelles de 106 millions de clients de Capital One Financial ont été détournées entre mars et juillet dernier. La pirate a été arrêtée.

La série noire des piratages de grandes banques se poursuit. Cette fois, c’est l’américain Capital One Financial qui annonce avoir été victime d’un hacking massif. En effet, les données personnelles de 106 millions de ses clients américains et canadiens ont été détournées entre mars et juillet dernier.

Noms, adresses, codes postaux, numéros de téléphone, adresses e-mail, dates de naissance ou encore les revenus déclarés ont fuité. Ces données sont celles de personnes ayant fait une demande pour des produits liés aux cartes de crédit ou souhaitant obtenir la carte bancaire Capital One.

Rappelons que cette dernière est le cinquième émetteur de cartes de crédit bancaires aux Etats-Unis.

L'établissement « a déterminé qu'un individu extérieur a eu un accès non autorisé (à son réseau) et a obtenu certaines informations personnelles » explique-t-il dans un communiqué.

Ni les numéros de compte de carte bancaire ni les informations pour se connecter à des comptes bancaires n'ont été volés. Et plus de 99% des numéros de sécurité sociale n'ont pas été compromis, ajoute la banque.

Les autorités de plus en plus sévères

« Il est peu probable que les informations volées aient été utilisées pour commettre une fraude ou aient été disséminées par l'individu. Toutefois, nous allons continuer d'enquêter », tente de rassurer Capital One.

Cette fois, l’auteur de l’attaque a été identifié et arrêté rapidement. Il s’agit d’une pirate qui a exploité une faille dans un serveur dématérialisé de Capital One.

Cette jeune femme de 33 ans s’est vanté de son exploit sur les réseaux sociaux ce qui a permis au FBI de la repérer. « Capital One a informé rapidement les autorités compétentes du vol de données -- ce qui a permis au FBI de retrouver la trace de l'intrus », a expliqué Brian Moran, le représentant du ministère de la Justice (DoJ) dans l'Etat de Washington, dans un communiqué. Elle risque 5 ans de prison.

« Bien que l'auteur ait déjà été attrapé, cela ne signifie pas que les impacts de cette violation de données ont été évités. Si nous analysions la chronologie de l’accès à ces données, nous verrions probablement que cette information est probablement déjà sur le DarkWeb. Dans la nouvelle ère numérique, les données sont monnaie courante et lorsqu'elles tombent entre de mauvaises mains, elles peuvent se répandre comme une traînée de poudre au sein de la communauté criminelle », estime au contraire Emmanuel Meriot, Country Manager France & Spain chez Darktrace, un éditeur de sécurité.

Une nouvelle fois, cette affaire illustre la fragilité des systèmes d’information notamment dans le cloud et des défauts de sécurisation qui commencent à lasser les autorités et les régulateurs.

Désormais, les sanctions sont de plus en plus lourdes. Equifax, l'agence de crédit américaine, a ainsi écopé d'une amende pouvant aller jusqu'à 700 millions de dollars pour le vol de données de plus de 147 millions de ses clients en 2017. Même si elle semble avoir réagi vite après avoir été averti de la faille, Capital One pourrait dans cette affaire prendre cher.

Les amendes sont en effet de plus en plus élevées notamment grâce à la mise en place du RGPD qui protège les données des utilisateurs et permet de sanctionner durement les entreprises laxistes. On rappellera que le méga-piratage de Yahoo en 2014 (3 milliards de comptes compromis) n’avait provoqué qu’une sanction de 31 millions d’euros...

Olivier CHICHEPORTICHE