La violation massive de données chez Capital One semblait être une attaque simple d'un seul pirate informatique, soulevant des questions sur la sécurité du système financier et les menaces internes à l'informatique en nuage.

Le motif de la violation et l'étendue de son impact sont restés flous mardi, un jour après que des agents du FBI ont arrêté Paige Thompson, ancienne ingénieure Web de 33 ans, et l'ont accusée d'avoir volé les données de plus de 100 millions de demandes de cartes de crédit de la 10e plus grande banque américaine.

"La plus grande surprise est le caractère amateur de l'attaque, " a déclaré John Dickson du cabinet de conseil en sécurité Denim Group.

Dickson a déclaré qu'il était "absolument bouleversant" qu'un attaquant individuel puisse accéder à autant de données dans l'une des plus grandes institutions financières américaines.

"Cela pourrait avoir un impact majeur sur la confiance dans le système bancaire."

Le piratage de Capital One semble être différent des failles majeures de la société de surveillance du crédit Equifax, le géant de l'Internet Yahoo et d'autres incidents majeurs qui ont été attribués à des entités étatiques sophistiquées.

Les autorités américaines ont déclaré que Thompson, un ancien employé d'Amazon Web Services, a été arrêtée sur la base d'un pourboire après s'être vantée d'avoir accédé aux données sur le site de partage de logiciels GitHub ainsi que sur Twitter et Slack.

Darren Hayes, un professeur d'informatique de Pace University spécialisé en cybersécurité, a déclaré que la capacité d'arrêter et de poursuivre rapidement un attaquant dans ce genre d'affaire est inhabituelle.

"La plupart de ces cas sont perpétrés par des pirates informatiques dans d'autres pays, " il a dit.

« Les bonnes personnes ont mal tourné »

Hayes a déclaré que l'incident met en évidence le risque d'attaques « d'initiés » lorsque des employés de confiance se tournent vers le vol.

"Il est difficile d'attraper les bonnes personnes qui tournent mal, donc beaucoup de banques recherchent ça maintenant" avec des outils d'intelligence artificielle pour détecter les anomalies dans le comportement des employés, dit Hayes.

Capital One a déclaré que l'incident avait touché quelque 100 millions de clients américains et six millions de clients canadiens, avec jusqu'à 140, 000 numéros de sécurité sociale américains et un million canadiens compromis.

Seules certaines des données ont été cryptées, mais Capital One a déclaré qu'il n'avait aucune indication que les données avaient été transférées ou vendues là où elles pourraient être préjudiciables pour les clients.

Toujours, Hayes a déclaré qu'il voyait un risque de perte de données qui pourrait finir par compromettre les clients des banques.

« Mon sentiment est que nous allons assister à de nombreux recours collectifs et que la société pourrait être tenue responsable de nombreux dommages, " il a dit.

La nouvelle de la violation de Capital One intervient après que l'agence américaine de surveillance du crédit Equifax a accepté la semaine dernière de payer jusqu'à 700 millions de dollars pour régler un incident similaire qui a frappé l'entreprise en 2017, touchant près de 150 millions de clients.

Le procureur général de l'État de New York, Letitia James, a déclaré que son bureau ouvrait sa propre enquête.

"Mon bureau va commencer une enquête immédiate sur la violation de Capital One, et veillera à ce que les New-Yorkais victimes de cette violation bénéficient d'une réparation, " dit James.

« Cible plus facile »

Dylan Gilbert du groupe de consommateurs Public Knowledge a déclaré que la nouvelle soulève des questions sur les procédures de sécurité de la grande banque.

"Pourquoi Capital One n'a-t-il pas entièrement chiffré ces données, et pourquoi l'entreprise n'a-t-elle pas placé cette vaste mine d'informations personnelles derrière un pare-feu correctement configuré ?", A déclaré Gilbert.

« La sécurité est un défi et des erreurs se produisent, mais malheureusement pour les consommateurs, les entreprises ne sont pas incitées à adopter les meilleures pratiques en matière de cybersécurité lorsque les sanctions prennent la forme de sanctions financières pouvant être prises en compte comme un simple coût des affaires. »

Salle Joseph, technologue en chef au Center for Democracy &Technology, a déclaré que l'incident met en évidence le risque de trop dépendre du cloud computing, qui stocke de grandes quantités de données dans des serveurs.

« Le fait qu'il y ait tellement plus de données dans le cloud en fait une cible plus facile, " dit Hall.

"Si les services cloud sont mal configurés, il est relativement facile pour quelqu'un qui passe d'en profiter."

Le CV en ligne de Thompson indique qu'elle a quitté Amazon en 2016, et rien n'indiquait que le cloud AWS lui-même était à blâmer pour la violation.

"AWS n'a été compromis d'aucune façon et a fonctionné comme prévu, ", a déclaré Amazon dans un communiqué.

"L'auteur a obtenu l'accès grâce à une mauvaise configuration de l'application Web et non de l'infrastructure cloud sous-jacente. Comme Capital One l'a clairement expliqué dans sa divulgation, ce type de vulnérabilité n'est pas spécifique au cloud."

© 2019 AFP