Le FBI a révélé cette semaine une cyber-attaque d’envergure et en même temps assez peu raffinée contre une grande banque américaine, Capital One. Lors de cette attaque perpétrée en mars dernier et révélée lundi, les données contenues dans un total de 106 millions de demandes de cartes de crédit ont été téléchargées grâce à une faille de configuration dans le firewall d’un serveur sur le cloud. Les données concernent cent millions d’Américains et six millions de Canadiens. En plus des noms, adresses, numéros de téléphone et dates de naissance des demandeurs, le fichier volé contient 140 000 numéros de sécurité sociale, 80 000 numéros de compte bancaire, ainsi que des fiches de crédit et des données transactionnelles.
Alors que pour le précédent hack d’une taille comparable, celui ayant frappé Equifax en 2017, on ne sait toujours pas qui l’a commis, les enquêteurs ont cette fois pu annoncer avoir déjà arrêté une personne présentée comme son auteur présumé. Il s’agit de Paige A. Thompson, une femme de 33 ans habitant Seattle, mise en examen pour fraude informatique. D’après le FBI, les données volées sont restées en ligne sur Github environ trois mois, sans que l’on sache avec certitude si elles ont été téléchargées ou non. Le FBI veut croire que cela n’a pas été le cas. « Sur la base de notre analyse à ce jour, nous pensons qu’il est improbable que l’information ait été utilisée pour des escroqueries ou disséminée par cet individu », écrit l’agence fédérale.
Cette évaluation repose sur l’analyse du trafic sur Github et les confidences de la hackeuse qui intervenait sur des forums sous le pseudo « erratic ». Elle y aurait évoqué son acte et fait état de son embarras : apparemment, elle se sentait vulnérable et ne savait trop que faire de cet encombrant paquet de données qu’elle décrit à un moment donné comme une « veste d’explosifs » qu’elle aurait enfilé.
L’affaire semble donc, selon ces premières constatations, se terminer plutôt bien pour la banque visée et ses clients, qui sont toutefois enjoints à redoubler de prudence. Il reste néanmoins quelques zones d’ombre. C’est un tiers qui a révélé le pot-aux-roses – « faites-moi savoir si vous voulez de l’aide pour identifier (les coupables) », a-t-il écrit dans un email adressé à la banque –, ce qui suggère que les données ne sont pas passées entièrement inaperçues pendant tout ce temps. Il reste aussi la question de la faille technique. Capital One conservait ce fichier hautement sensible sur un serveur d’Amazon Web Services, mais a précisé que la vulnérabilité était de son fait et concernait sa propre infrastructure, pas celle d’Amazon. Le New York Times a comparé l’erreur commise par la banque à celle consistant à laisser la fenêtre ouverte dans une de ses agences tant, selon les éléments publiés, l’attaque était peu sophistiquée. Capital One, une des premières banques à placer ses données sur le cloud, a indiqué s’attendre à dépenser au moins 100 millions de dollars pour faire face à l’incident, tandis que son assurance contre les pertes informatiques est susceptible de couvrir jusqu’à 400 millions de dollars. Une plainte aspirant au statut de « class action » a été déposée contre elle mardi.
Reste aussi à cerner l’historique et la personnalité de Paige Thompson. La jeune femme a été employée d’Amazon en tant qu’ingénieur systèmes de 2015 à 2016. L’image qui émerge est celle d’une personne s’estimant protégée par l’anonymat apporté par le navigateur Tor et le réseau privé virtuel (VPN) IPredator dont elle se servait, mais qui ne mesurait pas le niveau de discipline requis pour garantir son intraçabilité, tant en matière technique qu’au plan de son comportement en ligne. Un des comptes sur lesquels elle s’exprimait était lié à son identité réelle, offrant aux enquêteurs un fil sur lequel il leur a suffi de tirer pour arriver jusqu’à la pelote.