Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des données personnelles de 106 millions de clients volées à l'institution bancaire Capital One
La hackeuse présumée responsable a été appréhendée

Le , par Stéphane le calme

34PARTAGES

19  0 
Capital One est une banque dont le siège social est situé à Richmond dans l'état de Virginie aux États-Unis. Capital One est spécialisée dans la vente de crédit à la consommation, immobilier et dans la gestion des cartes de crédits. Capital One est le cinquième émetteur de cartes de crédit bancaires aux États-Unis.

La banque américaine a annoncé que des données personnelles de 106 millions de ses clients avaient été volées récemment. D'après le communiqué publié par Capital One, le piratage a été commis les 22 et 23 mars 2019. « Un individu extérieur a eu un accès non autorisé [à notre réseau] et a obtenu certaines informations personnelles », indique la banque.

Capital One, qui a confirmé le piratage le 19 juillet dernier, deux jours après qu'un chercheur en sécurité externe lui eut signalé une vulnérabilité du système, dit avoir colmaté la brèche « immédiatement » et avoir rapidement commencé à travailler avec les forces de l'ordre fédérales. L’institution précise toutefois que, d’après ses analyses, il est peu probable que les informations aient été utilisées à des fins frauduleuses ou diffusées par cette personne. Cependant, elle continue d’enquêter.

Selon son analyse, au jour de lundi cet événement a touché environ 100 millions de personnes aux États-Unis et environ 6 millions au Canada. Fait important, l’institution précise qu’aucun numéro de compte de carte de crédit ou identifiant de connexion n'a été compromis et plus de 99% des numéros de sécurité sociale ne l'ont pas été.

Et de préciser que

« les informations sur les consommateurs et les petites entreprises constituaient la plus grande catégorie d'informations consultées au moment où ils ont demandé l'un de nos produits pour cartes de crédit de 2005 à début 2019. Ces informations comprenaient les informations personnelles que Capital One recueille régulièrement au moment de la réception des demandes de carte de crédit. y compris les noms, adresses, codes postaux, codes téléphoniques, numéros de téléphone, adresses électroniques, dates de naissance et revenus déclarés. Outre les données de demande de carte de crédit, la personne a également obtenu des portions de données de client de carte de crédit, notamment:
  • les données sur le statut du client, par exemple notes de crédit, limites de crédit, soldes, historique des paiements, informations de contact
  • des fragments de données de transaction d'un total de 23 jours en 2016, 2017 et 2018

« Aucun numéro de compte bancaire ou de sécurité sociale n'a été compromis, à l'exception:
  • d’environ 140 000 numéros de sécurité sociale de nos clients émetteurs de cartes de crédit
  • d’environ 80 000 numéros de compte bancaire lié de nos clients avec cartes de crédit sécurisées

« Pour nos clients canadiens titulaires de cartes de crédit, environ un million de numéros d’assurance sociale ont été compromis lors de cet incident ».

Les personnes dont les informations ont été compromises lors de la violation seront prévenues par Capital One.


Une suspecte déjà arrêtée

Un ingénieur système identifié dans les médias comme étant un ancien employé d’Amazon a été arrêté pour avoir piraté le réseau de Capital One et volé des données confidentielles d’environ 106 millions de personnes, selon un dossier du FBI et une déclaration de la banque basée en Virginie.

La défenderesse Paige A. Thompson, 33 ans, de Seattle était un employé d'Amazon Web Services, a rapporté le New York Times citant des représentants de la société. L'agent spécial du FBI, Joel Martini, a écrit dans une plainte pénale déposée lundi qu'un compte GitHub appartenant à Thompson avait montré qu'au début de l'année, quelqu'un avait exploité une vulnérabilité de pare-feu sur le réseau de Capital One permettant à un attaquant d'exécuter une série de commandes sur les serveurs de la banque.

« Bien que je sois reconnaissant que l'auteur ait été arrêté, je suis profondément désolé de ce qui s'est passé », a déclaré Richard D. Fairbank, président du conseil et chef de la direction. « Je m'excuse sincèrement pour l'inquiétude compréhensible que cet incident doit causer aux personnes touchées et je m'engage à y remédier ».

Bien que la plainte n’identifie pas le fournisseur de cloud qui a stocké les données prétendument volées, les notes de facturation mentionnent des informations stockées dans S3, une référence à Simple Storage Service, le logiciel de stockage de données le plus populaire d’Amazon Web Services.

Un porte-parole d’AWS a confirmé que le service cloud de la société avait stocké les données Capitol One volées, et qu’il n’était pas possible d’y accéder par une violation ou une vulnérabilité des systèmes AWS. Les procureurs ont allégué que l'accès aux données bancaires passait par un pare-feu mal configuré qui protégeait l'une de ses applications.


Les preuves qui l’incriminent

Une commande exécutée dans le hack du pare-feu a permis à l'intrus d'obtenir les informations d'identification d'un compte administrateur appelé ***** WAF-Role. Cette commande, à son tour, a permis d'accéder aux données bancaires stockées sous contrat par une société proposant un stockage sur le cloud qui n'a pas été nommée dans les documents judiciaires, mais qui a été identifiée comme étant AWS par le NYT. D'autres commandes permettaient à l'attaquant d'énumérer les dossiers Capital One stockés sur AWS et de copier leur contenu. Les adresses IP et d’autres éléments de preuve ont finalement montré que c’était Thompson qui exploitait cette vulnérabilité et transmettait les données sur Github, a déclaré Martini.

Thompson aurait utilisé un VPN d'IPredator et Tor pour tenter de dissimuler ses traces. Dans le même temps, Martini a déclaré qu'une grande partie des preuves la liant à l'intrusion provenaient directement de ce qu'elle avait posté sur les médias sociaux ou de messages directs.

Martini a déclaré que, le 18 juin, un utilisateur de Twitter portant le nom d’utilisateur Erratic avait envoyé un message direct à un autre utilisateur, dans lequel on pouvait lire : « Je me suis passé une ceinture explosive, laissant fuiter des docs de Capital One et l’avouant. J’ai pensé à diffuser ces buckets. Des ssns ... avec nom complet et date de naissance ».

Le destinataire non nommé de ces messages les a envoyés aux responsables de Capital One. Les responsables de Capital One ont également reçu un courrier électronique daté du 17 juillet de la part d’une personne signalant que des données sensibles avaient été enregistrées sur le compte Github de Thompson. « Faites-moi savoir si vous souhaitez obtenir de l'aide pour les retrouver », a écrit la personne. Il n’était pas immédiatement évident de savoir si les rapports provenaient de la même personne ou de deux personnes différentes. Parmi les autres éléments de preuve liant Thompson au piratage figurent les adresses IP, a déclaré Martini. Capital One a confirmé l'intrusion le 19 juillet.

Thompson a été arrêté lundi et est en détention en attendant son audience de mise en liberté sous caution prévue pour jeudi. Elle est accusée d’un seul chef de fraude informatique et encourt une peine maximale de cinq ans de prison et une amende de 250 000 $. Lors d'une audience devant la cour plus tard dans la journée, selon les médias, Thompson « s'est effondrée et a posé sa tête sur la table de la défense ».

Source : Capital One, NYT

Voir aussi :

L'effigie d'Alan Turing, l'homme qui a piraté le système Enigma, figure désormais sur le billet de 50 £ de la Banque d'Angleterre
Cryptomonnaies : Trump s'en prend au Bitcoin et à la Libra de Facebook, et exige qu'ils soient soumis à la réglementation bancaire
Des grandes banques investissent des millions de dollars dans un système de paiement numérique, utilisant la technologie de la blockchain
Une banque suédoise ayant opté pour l'automatisation poussée réalise des bénéfices record, le secteur bancaire prochain eldorado de l'automatisation ?
Le système bancaire de l'Inde met les bouchées doubles pour abandonner Windows XP au profit d'OS plus récents et mieux sécurisés

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de CoderInTheDark
Membre chevronné https://www.developpez.com
Le 31/07/2019 à 12:58
Même si elle s'est fait prendre, elle démontre que les hackeuses existent aussi.
2  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 30/07/2019 à 17:34
une peine maximale de cinq ans de prison et une amende de 250 000 $
J'ai appris par ailleurs que la sécurisation des données et autres frais vont coûter entre 100 et 150 millions à Capital One.
1  0 
Avatar de tanaka59
Membre chevronné https://www.developpez.com
Le 31/07/2019 à 14:01
Ce type de piratage est vraiment consternant , c'est quasi aussi pire que le piratage de Target en 2013 : http://cyber-serenite.fr/actualites/...-des-codes-pin .

A croire que la sécurité aux USA reste un passoire ?
0  0 
Avatar de Jonathan muswil
Membre à l'essai https://www.developpez.com
Le 30/07/2019 à 21:01
Sérieux j'adore tellement le discours de Fabrice Epelboin sa m'avais touché gravement
Parce que embaucher des utilisateurs ont diminue ce jar de piratage
0  1