Plus de 100 millions de clients de la banque américaine Capital One ont été affectés par son piratage. / JOHANNES EISELE / AFP

C’est l’un des plus importants piratages connus ayant affecté une banque. Lundi 29 juillet, l’entreprise Capital One, spécialisée dans la gestion de cartes de crédit et dans les crédits à la consommation, dont le siège social est à Richmond (Virginie), a annoncé avoir été victime d’un piratage ayant affecté des données de 106 millions de clients – 100 millions d’Américains et six millions de Canadiens.

La banque a découvert, le 19 juillet, qu’un « individu extérieur » avait réussi en mars à s’introduire sur l’un de ses serveurs et à dérober un grand nombre d’informations personnelles. La plupart des données concernées, affirme la banque, sont celles qu’ont fournies les clients qui ont demandé une carte de crédit entre 2005 et début 2019 : noms, adresses, numéros de téléphone, adresses e-mail, date de naissance et le revenu déclaré par les clients.

La personne à l’origine du piratage a aussi obtenu des « portions » de données liées à l’usage des cartes bleues, comme le niveau de crédit ou l’historique des paiements. Qui plus est, plus d’un million de numéros de Sécurité sociale ont été dérobés et 80 000 numéros de comptes bancaires. Des informations qui peuvent potentiellement être exploitées à des fins malveillantes, comme l’usurpation d’identité.

Une Américaine arrêtée

Capital One a présenté ses excuses aux clients, affirmé que la vulnérabilité ayant permis l’intrusion avait été corrigée, et annoncé qu’elle leur offrirait des services de protection contre l’usurpation d’identité et les fraudes bancaires. Elle a aussi tenu à se montrer rassurante, affirmant qu’il était « peu probable que ces données aient été utilisées pour commettre des fraudes ou disséminées par cet individu ».

Qui est à l’origine de cet important piratage ? La justice américaine a annoncé l’arrestation, lundi, à Seattle (Etat de Washington), d’une femme de 33 ans. Selon le FBI, Paige A. Thompson, utilisant le pseudonyme « Erratic », se serait introduite dans un des serveurs de la banque pour y dérober des données, avant de s’en vanter sur différentes plates-formes comme GitHub. Le document d’inculpation précise qu’un utilisateur de GitHub a alors signalé à la banque qu’elle avait potentiellement été victime d’un piratage. Après avoir constaté le problème, Capital One s’est tourné vers le FBI, qui est remonté jusqu’à Paige A. Thompson, grâce aux différents messages qu’elle aurait publiés en ligne à ce sujet. Du matériel informatique a été saisi chez elle, sur lequel se trouvait une copie des données, affirme la justice américaine dans son communiqué.

Le FBI craint d’autres piratages

Celle-ci précise également que la pirate présumée travaillait auparavant comme ingénieure en informatique pour « une entreprise tech de Seattle ». Il s’agirait d’Amazon, et plus précisément d’Amazon Web Services, croit savoir le Wall Street Journal. L’entreprise qui a fourni le serveur piraté utilisé par la banque.

Amazon Web Services est l’un des plus grands pourvoyeurs de serveurs au monde, utilisé notamment par les entreprises recourant au « cloud ». Mais si Amazon fournit les machines, ce sont ses clients qui les configurent et qui gèrent les logiciels qu’ils y installent, a tenu à préciser la firme au New York Times, assurant que ses services de cloud n’étaient en rien compromis.

Dans le document d’inculpation, l’agent du FBI chargé de l’enquête souligne avoir trouvé des messages d’Erratic laissant entendre qu’elle aurait pu commettre d’autres piratages, concernant « plusieurs entreprises, institutions publiques et éducatives ». Il soupçonne aussi la pirate présumée d’avoir « eu l’intention de diffuser les données volées », en se basant sur d’autres messages.

Ce piratage rappelle celui qui a touché en 2017 l’entreprise de crédit Equifax, qui avait concerné des données de près de 150 millions d’Américains et avait mis en lumière la question sensible de la sécurité informatique des organismes financiers. La semaine dernière, un accord a été trouvé entre Equifax et la justice américaine : l’entreprise devra payer au moins 700 millions de dollars pour conclure les diverses actions en justice liées à cet épisode. Dont 425 millions seront destinés à ses clients.

De son côté, Capital One a déjà annoncé à ses investisseurs que ce piratage allait au moins lui coûter, dans le courant de l’année, entre 100 millions et 150 millions de dollars.