Capital One est une banque dont le siège social est situé à Richmond dans l’état de Virginie aux États-Unis. Capital One est spécialisée dans la vente de crédit à la consommation, immobilier et dans la gestion des cartes de crédits. Capital One est le cinquième émetteur de cartes de crédit bancaires aux États-Unis.
La banque américaine a annoncé que des données personnelles de 106 millions de ses clients avaient été volées récemment. D’après le communiqué publié par Capital One, le piratage a été commis les 22 et 23 mars 2019. « Un individu extérieur a eu un accès non autorisé [à notre réseau] et a obtenu certaines informations personnelles », indique la banque.
Capital One, qui a confirmé le piratage le 19 juillet dernier, deux jours après qu’un chercheur en sécurité externe lui eut signalé une vulnérabilité du système, dit avoir colmaté la brèche « immédiatement » et avoir rapidement commencé à travailler avec les forces de l’ordre fédérales. L’institution précise toutefois que, d’après ses analyses, il est peu probable que les informations aient été utilisées à des fins frauduleuses ou diffusées par cette personne. Cependant, elle continue d’enquêter.
Selon son analyse, au jour de lundi cet événement a touché environ 100 millions de personnes aux États-Unis et environ 6 millions au Canada. Fait important, l’institution précise qu’aucun numéro de compte de carte de crédit ou identifiant de connexion n’a été compromis et plus de 99% des numéros de sécurité sociale ne l’ont pas été.
Et de préciser que
« les informations sur les consommateurs et les petites entreprises constituaient la plus grande catégorie d’informations consultées au moment où ils ont demandé l’un de nos produits pour cartes de crédit de 2005 à début 2019. Ces informations comprenaient les informations personnelles que Capital One recueille régulièrement au moment de la réception des demandes de carte de crédit. y compris les noms, adresses, codes postaux, codes téléphoniques, numéros de téléphone, adresses électroniques, dates de naissance et revenus déclarés. Outre les données de demande de carte de crédit, la personne a également obtenu des portions de données de client de carte de crédit, notamment:
- les données sur le statut du client, par exemple notes de crédit, limites de crédit, soldes, historique des paiements, informations de contact
- des fragments de données de transaction d’un total de 23 jours en 2016, 2017 et 2018
« Aucun numéro de compte bancaire ou de sécurité sociale n’a été compromis, à l’exception:
- d’environ 140 000 numéros de sécurité sociale de nos clients émetteurs de cartes de crédit
- d’environ 80 000 numéros de compte bancaire lié de nos clients avec cartes de crédit sécurisées
« Pour nos clients canadiens titulaires de cartes de crédit, environ un million de numéros d’assurance sociale ont été compromis lors de cet incident ».
Les personnes dont les informations ont été compromises lors de la violation seront prévenues par Capital One.
Une suspecte déjà arrêtée
Un ingénieur système identifié dans les médias comme étant un ancien employé d’Amazon a été arrêté pour avoir piraté le réseau de Capital One et volé des données confidentielles d’environ 106 millions de personnes, selon un dossier du FBI et une déclaration de la banque basée en Virginie.
La défenderesse Paige A. Thompson, 33 ans, de Seattle était un employé d’Amazon Web Services, a rapporté le New York Times citant des représentants de la société. L’agent spécial du FBI, Joel Martini, a écrit dans une plainte pénale déposée lundi qu’un compte GitHub appartenant à Thompson avait montré qu’au début de l’année, quelqu’un avait exploité une vulnérabilité de pare-feu sur le réseau de Capital One permettant à un attaquant d’exécuter une série de commandes sur les serveurs de la banque.
« Bien que je sois reconnaissant que l’auteur ait été arrêté, je suis profondément désolé de ce qui s’est passé », a déclaré Richard D. Fairbank, président du conseil et chef de la direction. « Je m’excuse sincèrement pour l’inquiétude compréhensible que cet incident doit causer aux personnes touchées et je m’engage à y remédier ».
Bien que la plainte n’identifie pas le fournisseur de cloud qui a stocké les données prétendument volées, les notes de facturation mentionnent des informations stockées dans S3, une référence à Simple Storage Service, le logiciel de stockage de données le plus populaire d’Amazon Web Services.
Un porte-parole d’AWS a confirmé que le service cloud de la société avait stocké les données Capitol One volées, et qu’il n’était pas possible d’y accéder par une violation ou une vulnérabilité des systèmes AWS. Les procureurs ont allégué que l’accès aux données bancaires passait par un pare-feu mal configuré qui protégeait l’une de ses applications.
Les preuves qui l’incriminent
Une commande exécutée dans le hack du pare-feu a permis à l’intrus d’obtenir les informations d’identification d’un compte administrateur appelé ***** WAF-Role. Cette commande, à son tour, a permis d’accéder aux données bancaires stockées sous contrat par une société proposant un stockage sur le cloud qui n’a pas été nommée dans les documents judiciaires, mais qui a été identifiée comme étant AWS par le NYT. D’autres commandes permettaient à l’attaquant d’énumérer les dossiers Capital One stockés sur AWS et de copier leur contenu. Les adresses IP et d’autres éléments de preuve ont finalement montré que c’était Thompson qui exploitait cette vulnérabilité et transmettait les données sur Github, a déclaré Martini.
Thompson aurait utilisé un VPN d’IPredator et Tor pour tenter de dissimuler ses traces. Dans le même temps, Martini a déclaré qu’une grande partie des preuves la liant à l’intrusion provenaient directement de ce qu’elle avait posté sur les médias sociaux ou de messages directs.
Martini a déclaré que, le 18 juin, un utilisateur de Twitter portant le nom d’utilisateur Erratic avait envoyé un message direct à un autre utilisateur, dans lequel on pouvait lire : « Je me suis passé une ceinture explosive, laissant fuiter des docs de Capital One et l’avouant. J’ai pensé à diffuser ces buckets. Des ssns … avec nom complet et date de naissance ».
Le destinataire non nommé de ces messages les a envoyés aux responsables de Capital One. Les responsables de Capital One ont également reçu un courrier électronique daté du 17 juillet de la part d’une personne signalant que des données sensibles avaient été enregistrées sur le compte Github de Thompson. « Faites-moi savoir si vous souhaitez obtenir de l’aide pour les retrouver », a écrit la personne. Il n’était pas immédiatement évident de savoir si les rapports provenaient de la même personne ou de deux personnes différentes. Parmi les autres éléments de preuve liant Thompson au piratage figurent les adresses IP, a déclaré Martini. Capital One a confirmé l’intrusion le 19 juillet.
Thompson a été arrêté lundi et est en détention en attendant son audience de mise en liberté sous caution prévue pour jeudi. Elle est accusée d’un seul chef de fraude informatique et encourt une peine maximale de cinq ans de prison et une amende de 250 000 $. Lors d’une audience devant la cour plus tard dans la journée, selon les médias, Thompson « s’est effondrée et a posé sa tête sur la table de la défense ».