Photo: Thomas Hawk https://www.flickr.com/photos/thomashawk/

83 millions de comptes compromis chez JPMorgan Chase

La plus grande banque américaine, JPMorgan Chase, a été victime de piratage depuis juin 2014 (au plus tard). Elle ne s’en est aperçue qu’en juillet, et a longtemps affirmé en privé que seul un million de comptes clients auraient été compromis.
D’où le choc à la lecture du formulaire Form 8-K envoyé à la SEC, l’équivalent américain de notre Autorité des Marchés Financiers.

Au moins 76 millions de comptes privés et 7 millions de comptes d’entreprises auraient été compromis, soit 83 fois les estimations initiales.

Ce piratage concerne donc encore plus de victimes que les intrusions chez Target en 2013 (40 millions de détenteurs de cartes de crédit), et chez Home Depot en septembre 2014, touchant 56 millions de détenteurs de cartes de crédit.

 

Le danger est d’autant plus aigu que JPMorgan Chase n’est pas une entreprise de distribution, mais une banque, avec des informations bien plus sensibles sur ses clients.

Les pirates connaissent donc les noms, adresses, numéros de téléphone et adresses courriel des détenteurs de comptes. La banque affirme qu’il n’y a aucune preuve que les informations de comptes, comme les mots de passe ou les numéros de Sécurité sociale n’ont été piratés. Aucune fraude utilisant les données volées n’aurait été constatée.

Pour autant, il est difficile d’être rassuré. Si la plupart des piratages traditionnels concernait le vol de PINs de cartes de crédits sur des distributeurs de billets, l’intrusion est bien plus profonde cette fois-ci.

Les enquêteurs ne comprennent d’ailleurs pas pourquoi les pirates n’ont pas utilisé les informations pour voler de l’argent. Il pourrait s’agir d’un piratage promu par un État comme la Russie.

 

Les pirates, qui agiraient de l’étranger, auraient accédé à plus de 90 serveurs de la banque, avec le plus haut niveau d’accès. Ils auraient pu répertorier l’ensemble des applications utilisées sur les ordinateurs de la banque.

Ils peuvent donc maintenant faire l’inventaire de toutes les failles de sécurité répertoriées pour chacune de ces applications.

Il faudra des mois, au minimum, à la banque pour changer de contrat ou de fournisseurs d’applications, ou d’appliquer des correctifs de sécurité aux applications en usage. C’est une large fenêtre d’opportunité pour des pirates.

JPMorgan Chase avait déjà annoncé vouloir dépenser 250 millions de dollars chaque année pour la cybersécurité. Il semblerait toutefois que nombre de ses spécialistes aient déjà cherché des postes dans d’autres banques.

 

On aurait tort de penser que le piratage ne concerne les États-Unis et ne dévoile que des lacunes propres aux Américains. Rien n’indique que les établissements financiers français soient mieux protégés que leurs homologues américains. Bien au contraire. Et les entreprises américaines bénéficient du savoir faire d’agences fédérales comme le FBI et la NSA, pour les enquêtes comme pour les améliorations sécuritaires, et il est fort probable qu’elles soient parmi les plus performantes au monde en matière de cybersécurité.

Il nous semble naturel de financer les forces de l’ordre. Il est probablement temps de financer une cyberpolice d’une tout autre envergure qu’aujourd’hui.