L’amateurisme du hack de la banque Capital One surprend et inquiète

Par Epoch Times avec AFP
30 juillet 2019 22:55 Mis à jour: 30 juillet 2019 23:03

Elle a agi seule. Sa cyberattaque contre la banque Capital One était peu sophistiquée et le succès de l’opération pose nombre de questions sur la sécurité du système financier et les risques liés au stockage dématérialisé de données, le « cloud« .

Pour l’heure on ne sait pas ce qui a poussé une jeune femme de 33 ans, Paige Thompson, ancienne ingénieure informatique, à pénétrer les défenses de la dixième banque des Etats-Unis et à voler certaines données personnelles de quelque 100 millions de clients aux Etats-Unis et 6 millions au Canada.

« La plus grosse surprise dans cette affaire c’est l’amateurisme de cette attaque« , remarque John Dickson, de la firme de consultants en sécurité Denim.

« C’est totalement sidérant » qu’une personne seule puisse avoir accès à autant de données de l’une des plus importantes institutions financières du pays, souligne M. Dickson.

Il n’hésite à pas à dire que « cela pourrait affecter la confiance dans le système bancaire« .

On semble loin dans ce cas, selon les premiers éléments de l’enquête rendus publics par le FBI qui a arrêté la jeune femme, des cybercrimes les plus retentissants de ces dernières années, comme ceux commis contre Equifax, Yahoo ou encore Sony et attribués par les autorités américaines à des agences d’Etats hostiles.

« La plupart de ces affaires sont le fait de hackers résidant à l’étranger (en-dehors des Etats-Unis) », souligne ainsi Darren Hayes, professeur de Sciences informatiques à Pace University, spécialisé dans la cybersécurité.

Selon les autorités, Paige Thompson a été trahie par sa vanité. Elle s’est vantée de ses exploits sur Twitter, la messagerie Slack ou même le site Github, ce qui n’est pas le plus grand signe de professionnalisme d’un criminel.

L’arrestation très rapide de Mme Thompson est, elle aussi, atypique dans une affaire de ce genre.

Pour Darren Hayes, ce cas précis met en lumière le danger représenté par des employés qui passent du côté obscur.

« C’est difficile d’attraper des gens bien qui tournent mal, et donc beaucoup de banques travaillent là-dessus » en faisant appel à des outils basés sur l’intelligence artificielle pour détecter des comportements déviants, explique le professeur.

Dans ce cas précis, Mme Thompson a réussi à voler 140.000 numéros de sécurité sociale de client américains de Capital One. C’est le plus précieux sésame aux Etats-Unis pour un grand nombre d’opérations de la vie quotidienne.

La hackeuse a aussi volé le numéro de sécurité sociale d’un million de Canadiens.

Seule une partie des données était cryptée, mais Capitol One assure n’avoir aucune indication que ces données aient été transférées ou vendues.

Pour autant, il est fort probable que les poursuites contre la banque se multiplient et que l’addition soit salée, explique M. Hayes.

Equifax, une société qui surveille et note la qualité du crédit de consommateurs américains, vient de payer 700 millions de dollars pour mettre fin à des poursuites. Elle avait laissé filer des données personnelles de 150 millions de clients.

Dylan Gilbert du groupe de défense des consommateurs Public Knowledge s’interroge: « Pourquoi les données n’étaient pas toutes chiffrées et pourquoi ce vaste ensemble n’était-il pas mis en sécurité derrière une vraie muraille de Chine ? »

Joseph Hall, responsable des technologies à l’ONG Center for Democracy & Technology, souligne les dangers d’une trop grande dépendance au « cloud« , souvent cible de cyberattaques.

« Le fait qu’il y ait tellement plus de données dans le ‘cloud’ en fait une cible plus facile« , souligne-t-il.

« Si les services de stockage dématérialisé sont mal configurés il est relativement facile pour quelqu’un qui passe par là d’en tirer profit« , ajoute-t-il.

Paige Thompson a quitté en 2016 Amazon Web Services, et la branche des services de stockage dématérialisé du géant du commerce en ligne a été prompte à expliquer qu’elle n’était pour rien dans cette affaire.

« Le suspect a eu accès par le biais d’une mauvaise configuration d’une application et pas à cause de la structure sous-jacente du ‘cloud’« , explique AWS dans un communiqué, avant d’ajouter: « ce type de vulnérabilité n’est pas spécifique au ‘cloud’« .

Une précision qui ne surprend pas quand on sait qu’Amazon, comme Microsoft et Google construisent de véritables empires dans le ‘cloud’, dont les marges sont très juteuses.

Soutenez Epoch Times à partir de 1€

Comment pouvez-vous nous aider à vous tenir informés ?

Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.