Sécurité IT : cyber-casse sur la banque JPMorgan
Ce mercredi, JPMorgan Chase & Co a notifié 465 000 de ses porteurs de cartes d’une éventuelle fuite de leurs données bancaires liée à un piratage informatique.
Les quelque 465 000 détenteurs d’une carte prépayée UCard chez JPMorgan Chase & Co ont été informés d’une possible fuite de leurs données personnelles à la suite d’un piratage.
Diverses informations confidentielles auraient été exfiltrées en juillet 2013, après des accès non autorisés sur le réseau informatique de la banque américaine. La faille de sécurité exploitée à cette occasion a été découverte en septembre. Résidant sur les serveurs qui hébergent le site www.ucard.chase.com, elle a été immédiatement résorbée et déclarée aux autorités.
Reuters, qui s’appuie sur le témoignage d’un porte-parole de JPMorgan, annonce que des investigations sont en cours pour déterminer l’ampleur de l’attaque et la nature des données dérobées à environ 2% des 25 millions de clients que compte l’activité bancaire du groupe financier (les porteurs de cartes de crédit, de débit et prépayées Liquid ne sont pas concernés).
Sollicités dans le cadre de cette enquête, les services de renseignement américains et le FBI n’ont pas dévoilé l’identité des victimes, qui sont essentiellement des sociétés et des agences gouvernementales. JPMorgan assure pour sa part que ‘très peu de données’ ont été compromises, excluant au passage les éléments sensibles comme les numéros de Sécurité sociale, les dates de naissance et même les adresses.
N’ayant « aucune preuve que des fonds aient été extorqués« , la banque n’émet pas de cartes de rechange. Elle reconnaît toutefois que certaines informations d’ordinaire chiffrées ont pu être accessibles en clair via des fichiers témoins utilisés pour garder trace de l’activité des clients (transactions, dernière connexion…) Fox 8 News rapportait ce mercredi que trois agences de Louisiane avaient été averties en ce sens.
Dans l’état, les pirates auraient récupéré suffisamment d’éléments pour procéder à l’ouverture de comptes bancaires sous de fausses identités. Autres possibilités, revendre ces numéros – qui se monnayent entre 10 et 50 dollars au marché noir – ou en céder à des ‘caissiers’, ces personnes chargées d’encoder de nouvelles cartes de crédit à partir des données subtilisées pour qu’elles soient utilisables ailleurs que sur Internet.
Il est d’autant plus difficile d’évaluer les effets que pourrait avoir cet épisode sur l’économie et la vie privée. A titre comparatif, la justice américaine a évalué à 300 millions de dollars le préjudice lié au piratage, en 2012, de 160 millions de numéros de cartes aux États-Unis, au Canada et en Europe par un groupe de pirates basé en Europe de l’Est.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous le Web chinois ?
Crédit photo : Mopic – Shutterstock.com