Un tiers des Américains concernés
La fraude aurait eu lieu entre le 22 et le 23 mars dernier, mais n'a été découverte que le 19 juillet. Capital One a alors déterminé qu'un « individu extérieur a eu un accès non autorisé et a obtenu certains types d'informations personnelles concernant des clients qui ont fait une demande de cartes de crédit ». La société déclare avoir immédiatement réparé la faille.
Le FBI a ouvert une enquête, qui a rapidement conduit à l'arrestation d'une personne. Selon les propos du procureur rapportés par le New York Times, il s'agit d'une ex-employée d'Amazon Web Services (l'hébergeur du Cloud de Capital One), adepte déclarée du hacking. La pirate risque jusqu'à 5 ans de prison et 250 000 dollars d'amende. La banque indique quant à elle que cette fraude pourrait lui coûter entre 100 et 150 millions de dollars.
Le nombre important de victimes est lié à la très longue durée de conservation des données personnelles par la banque (14 ans) : les premiers clients impactés avaient été inscrits dans le fichier après avoir fait une demande de carte de crédit en 2005.
Des données sensibles subtilisées
La pirate aurait également eu accès à 80 000 numéros de compte en banque et plus d'un million de numéros de sécurité sociale. En plus de l'accès à l'assurance de santé, aux États-Unis ce numéro sert d'identifiant dans de nombreux actes de la vie quotidienne, tels que l'ouverture d'un compte bancaire, la location d'un logement, la fiscalité ou l'obtention d'un permis de conduire.
Selon Capital One, malgré l'ampleur de la fraude, il est « peu probable que les informations volées aient été utilisées pour commettre une fraude ou aient été disséminées par l'individu ». La banque déclare cependant poursuivre ses investigations.
Sur le même thème : L'importance de la protection des données personnelles pour les entreprises
Les cyberattaques de banques de plus en plus fréquentes
En 2016, 40 000 clients de la Tesco Bank s'étaient vu voler leurs données personnelles, dont la moitié avait été victime de paiements frauduleux. En 2017, plusieurs banques britanniques avaient subi une attaque « DDoS », ou « attaque par déni de service », qui consiste à rendre les serveurs indisponibles en les surchargeant de connexions. L'année suivante, les 3 principales banques des Pays-Bas ainsi que l'équivalent local du Trésor Public avaient subi le même sort. Fin 2018, la banque canadienne Desjardins avait elle aussi constaté le vol des données de près de 3 millions de clients, vraisemblablement effectué par un de ses propres employés.
En Europe, 66 incidents concernant la sécurité informatique ont été signalés à la Banque Centrale Européenne (BCE) entre juillet 2017 et octobre 2018.
A lire également :
• Amazon condamnés en raison de clauses abusives dans certains contrats avec des fournisseurs
• Une plateforme de crowdfunding placée sous tutelle judiciaire
La cybersécurité bancaire : un enjeu de politique internationale
L'enjeu est particulièrement important, car la finance est connectée à tous les autres secteurs d'activité. En cas d'attaque majeur et de déstabilisation de banques importantes, un risque de contagion à l'économie réelle est bien présent.
Les scandales concernant le vol de données personnelles s'enchaînent, et les amendes infligées aux entreprises pour mauvaise sécurisation informatique aussi. Fin 2018, la CNIL a par exemple condamné Uber à 400 000 euros d'amende pour le vol des données de 1,4 millions de clients Français.
British Airways vient d'écoper d'une amende de 204 millions d'euros pour le vol des données bancaires de 429 000 clients depuis son site Internet. Enfin Equifax, agence de notation de crédit américaine, a dû payer 700 millions de dollars, suite au vol des données de près de la moitié de la population américaine.
Commentaires