Etats-Unis Millions de données volées à une banque

La banque américaine Capital One Financial a annoncé lundi que des données personnelles de 106 millions de ses clients américains et canadiens avaient été volées récemment. La voleuse, une ingénieure en informatique, a été appréhendée par la police fédérale (FBI).

Cette intrusion est un des plus importants piratages informatiques affectant une grande banque américaine, Capital One étant le cinquième émetteur de cartes de crédit bancaires aux Etats-Unis. L'établissement «a déterminé qu'un individu extérieur a eu un accès non autorisé (à son réseau) et a obtenu certaines informations personnelles», explique-t-il dans un communiqué.

Ces données sont celles de personnes «ayant fait une demande pour des produits liés aux cartes de crédit ou souhaitant obtenir la carte bancaire Capital One», ajoute cette même source.

Environ 100 millions de ressortissants américains et près de 6 millions de Canadiens sont affectés, précise la firme, affirmant encore que: «ni les numéros de compte de carte bancaire ni les informations pour se connecter à des comptes bancaires n'ont été volés. Et plus de 99% des numéros de sécurité sociale n'ont pas été compromis».

Informations partielles

Les informations illégalement obtenues appartiennent aux consommateurs ainsi qu'aux petites entreprises s'étant adressés à Capital One entre 2005 et début 2019. Elles vont des noms, adresses, codes postaux, numéros de téléphone, aux adresses e-mail en passant par les dates de naissance ou encore les revenus déclarés.

La hackeuse, qui s'est servie d'une faille dans un serveur d'informatique dématérialisée (cloud) de Capital One, a aussi obtenu des informations partielles sur des détenteurs de cartes de crédits bancaires, comme leur historique des paiements ou leur solde courant.

Pour les clients canadiens, près d'un million de numéros d'assurance ont été piratés, précise Capital One. «Il est peu probable que les informations volées aient été utilisées pour commettre une fraude ou aient été disséminées par l'individu. Toutefois, nous allons continuer d'enquêter», affirme Capital One.

«Je me suis piégée moi-même»

La banque, qui dit avoir colmaté la brèche le 19 juillet deux jours après en avoir été informée par un utilisateur du site internet GitHub, explique que le piratage a eu lieu entre le 12 mars et le 17 juillet de cette année.

La voleuse supposée serait une Américaine de 33 ans. Elle vit à Seattle dans l'Etat de Washington où elle a été arrêtée lundi par le FBI. Il est rare que les autorités procèdent à une arrestation aussi rapide dans une affaire de piratage informatique.

«Capital One a informé rapidement les autorités compétentes du vol de données – ce qui a permis au FBI de retrouver la trace de l'intrus», a expliqué Brian Moran, le représentant du ministère de la Justice (DoJ) dans l'Etat de Washington, dans un communiqué.

Selon des documents judiciaires consultés par l'AFP, la hackeuse aurait utilisé le pseudonyme «Erratic» dans des conversations sur les réseaux sociaux et sites internet pour se vanter de son forfait. Elle a notamment «déclaré sur les réseaux sociaux qu'elle détenait des informations de capital One, et qu'elle reconnaissait avoir enfreint la loi», selon la plainte du FBI.

«Je me suis piégée moi-même avec une veste explosive», aurait-elle également déclaré d'après le FBI.

Cinq ans de prison

Son arrestation intervient quelques jours seulement après qu'Equifax, l'agence de crédit américaine, a écopé d'une amende pouvant aller jusqu'à 700 millions de dollars pour le vol de données de plus de 147 millions de ses clients en 2017.

Une audience judiciaire est prévue jeudi à Seattle. La trentenaire encourt plus de cinq ans de prison et une amende de 250'000 dollars, selon le DOJ

Protégez vos cartes de crédit sans contact!

Voir 15 autres images

Vol de données NFC: protégez vos cartes de crédit sans contact

Le paiement sans contact via carte de crédit fait des émules: des millions de consommateurs utilisent déjà cette technologie pour payer de petits montants en quelques secondes.

Photo: iStock

Les distributeurs de cartes de crédit en font activement la promotion: la plupart des nouvelles cartes de crédit sont équipées d'une puce NFC (Near Field Communication, ou Communication dans un champ proche).

Photo: iStock

Il suffit de chercher le symbole WLAN/Wi-fi pour déterminer si la carte est équipée de la fonctionnalité de paiement sans contact. Il ne reste plus qu'à apposer la carte sur le terminal pour envoyer le paiement. Cependant, ce confort a un prix.

Photo: iStock

Les fraudeurs ont désormais développé de nouvelles méthodes leur permettant d'accéder aux données stockées sur ces cartes équipées de la puce NFC. Ils peuvent ainsi s'enrichir au détriment de la victime.

Photo: iStock

Nous vivons à une époque où l'argent n'est plus dérobé de façon conventionnelle. Il est beaucoup plus lucratif de mettre directement la main sur les informations de la carte de crédit de la victime.

Photo: iStock

Aujourd'hui, grâce aux cartes de crédit équipées du paiement sans contact, cette manipulation dure à peine quelques secondes. Les fraudeurs ont simplement besoin d'un scanner RFID, qu'il est possible de se procurer en ligne pour environ 40 francs.

Photo: iStock

Les données de la carte de crédit de la victime sont captées à travers la poche, le sac à dos ou le porte-monnaie. C'est ainsi que le numéro de carte et la date d'expiration sont transmis au fraudeur.

Photo: iStock

Ces informations sont amplement suffisantes pour passer de petites commandes dans certains magasins en ligne. Ainsi, le criminel peut faire ses emplettes avec les données volées.

Photo: iStock

En outre, il se peut que ce piratage ne nécessite même plus de scanner, étant donné que toujours plus de Smartphones disposent d'une puce NFC intégrée pour pouvoir utiliser le paiement sans contact.

Photo: iStock

On peut imaginer que les fraudeurs utilisent un logiciel malveillant pour déclencher le lecteur NFC, activer la carte de la victime et transférer les données récupérées sur Internet.

Photo: iStock

Si vous remarquez des transactions suspectes sur votre relevé bancaire, contactez immédiatement votre banque ou votre fournisseur de carte afin, si nécessaire, de faire opposition.

Photo: iStock

Néanmoins, comment réagir avant qu'il ne soit trop tard? Au final, le vol de données ne se remarque même pas sur le moment.

Photo: iStock

On peut douter de l'efficacité des coques en aluminium censées protéger des «ondes manipulatrices». Toutefois, dans ce cas de figure, l'aluminium est une bonne solution. Si la carte a été fabriquée en cette matière, le fraudeur n'a aucune chance.

Photo: iStock

Entre-temps, de nouveaux porte-monnaie avec «protection-RFID» intégrée ont vu le jour (Alpine Swiss en a produit un modèle). Le contenu de ces porte-monnaie est protégé du vol de données.

Photo: Alpine Swiss

D'autres documents équipés de la technologie NFC sont vulnérables, tels que le SwissPass émis par les CFF. En revanche, les éventuels fraudeurs ne peuvent rien faire de ces données, vu qu'elles sont sauvegardées par les CFF sur des serveurs sécurisés.

Photo: SBB