On l’appelle "Erratic", Paige Thompson de son vrai nom. Cette hackeuse américaine a réussi à dérober les données personnelles de pas moins de 106 millions de clients américains et canadiens. Noms, adresses, codes postaux, numéros de téléphone, adresses e-mail, dates de naissance, revenus déclarés. Pire encore, la hackeuse a réussi à s’emparer de 140 0000 numéros de sécurité sociale de clients américains et de ceux d’un million de Canadiens. Ce numéro est comparable chez nous au numéro de registre national, à la différence qu’aux Etats-Unis comme au Canada, il est aussi utilisé lors de la demande d’un prêt, lors d’une déclaration d’impôt, ou lors du payement des allocations de chômage,… Bref, une vraie tuile pour la banque Capital One qui a été la cible de cette attaque.
La banque tente de rassurer. Selon elle, "ni les numéros de compte de carte bancaire ni les informations pour se connecter à des comptes bancaires n’ont été volés. Et plus de 99% des numéros de sécurité sociale n’ont pas été compromis".
Une faille dans le cloud
Pour arriver à ses fins, la hackeuse s’est servie d’une faille dans un serveur dématérialisé plus communément appelé le "cloud". Une technologie aujourd’hui très utilisée par de grandes entreprises qui en ont fait leur business model comme Google avec le Google Drive, Microsoft avec son Azure ou encore Amazon avec AWS. AWS que connaît bien Paige Thompson étant donné qu’elle a travaillé dans ce département chez Amazon jusqu’en 2016.
"La plus grosse surprise dans cette affaire c’est l’amateurisme de cette attaque", remarque John Dickson, de la firme de consultants en sécurité Denim. "C’est totalement sidérant" qu’une personne seule puisse avoir accès à autant de données de l’une des plus importantes institutions financières du pays, souligne M. Dickson. Selon lui, "cela pourrait affecter la confiance dans le système bancaire".
Joseph Hall, responsable des technologies à l’ONG Center for Democracy & Technology, souligne les dangers d’une trop grande dépendance au "cloud". "Le fait qu’il y ait tellement plus de données dans le "cloud" en fait une cible plus facile", souligne-t-il. "Si les services de stockage dématérialisé sont mal configurés il est relativement facile pour quelqu’un qui passe par là d’en tirer profit", ajoute-t-il.
Perdue par sa vanité
La hackeuse a finalement été arrêtée après s’être vantée de son exploit sur twitter, sur la messagerie Slack ou même sur le site Github. C’est d’ailleurs l’un des utilisateurs de Github qui en a informé la banque qui en a, elle-même, informé le FBI. Les agents fédéraux ont donc ainsi pu procéder à l’arrestation rapide de "Erratic" alias Paige Thompson. Elle encourt aujourd’hui jusqu’à 5 ans de prison et 250.000 dollars d’amende.
Leave a comment