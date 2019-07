La fuite de renseignements personnels majeure qui touche Capital One n’est pas la première dans le genre à survenir chez le cinquième émetteur de cartes de crédit en Amérique du Nord. Visiblement, la compagnie n’a pas appris de ses erreurs.

Cette fuite, qui compromet les données personnelles de 106 millions de clients au Canada et aux États-Unis, est l’un des plus importants piratages touchant une institution financière. À titre comparatif, elle est 50 fois plus importante que celle qui a récemment touché le Mouvement Desjardins.

Pourtant, Capital One n’accorde mardi aucune entrevue sur le sujet, une attitude qui contraste avec la sortie publique du PDG de Desjardins Guy Cormier lors de l’annonce de la fuite de données qui a touché l’institution québécoise.

D’autres brèches dans le passé

Pour l’expert en sécurité informatique Steve Waterhouse, «quelque chose ne tourne pas rond» chez Capital One. Le New York Times rapporte mardi que l’institution bancaire a été la cible d’une fuite semblable en 2017, quand elle a informé ses clients qu’un ex-employé avait possiblement eu accès durant près de quatre mois à leurs renseignements personnels, incluant leur numéro de compte, leur numéro de téléphone, leur historique transactionnel et leur numéro d’assurance sociale. Une autre fuite serait aussi survenue en 2014, selon le NYT.

«C’est la troisième fois en cinq ans que des informations ont été consultées par des gens non autorisés à le faire et on ne voit pas qu’il y a eu de changements dans leur façon de protéger les données», déplore M. Waterhouse.

«Systématiquement, il y a quelque chose qui ne tourne pas rond, poursuit-il. Soit les équipements ne sont pas adéquats, soit la façon de gérer la sécurité des informations à l’intérieur [de la compagnie] n’est pas prise au sérieux.»

Attaque peu sophistiquée

Cette fuite de renseignements personnels ne s’est par ailleurs pas produite dans les mêmes circonstances que celle chez Desjardins. Dans le deuxième cas, le suspect identifié comme celui qui a volé et compromis les données travaillait au sein de la coopérative. Or dans le cas de Capital One, la femme arrêtée par le FBI, Paige Thompson, était une ancienne employée d’Amazon, où sont hébergées les données de l’institution financière américaine.

Sa cyberattaque était d’ailleurs peu sophistiquée, selon différents experts, et le succès de l'opération pose nombre de questions sur la sécurité du système financier et les risques liés au stockage dématérialisé de données.

«La plus grosse surprise dans cette affaire c'est l'amateurisme de cette attaque», remarque John Dickson, de la firme de consultants en sécurité Denim.

«C'est totalement sidérant» qu'une personne seule puisse avoir accès à autant de données de l'une des plus importantes institutions financières du pays, souligne M. Dickson.

Il n'hésite à pas à dire que «cela pourrait affecter la confiance dans le système bancaire».

Les clients Capital One touchés par la fuite devraient être contactés sous peu par l’institution qui leur offrira une protection similaire à celle de Desjardins, soit une alerte de crédit, notamment avec Equifax.

Le «cloud» mis en cause

Joseph Hall, responsable des technologies à l'ONG Center for Democracy & Technology, souligne les dangers d'une trop grande dépendance au «cloud», souvent cible de cyberattaques.

«Le fait qu'il y ait tellement plus de données dans le “cloud” en fait une cible plus facile», souligne-t-il.

«Si les services de stockage dématérialisé sont mal configurés il est relativement facile pour quelqu'un qui passe par là d'en tirer profit», ajoute-t-il.

Paige Thompson a quitté en 2016 Amazon Web Services, et la branche des services de stockage dématérialisé du géant du commerce en ligne a été prompte à expliquer qu'elle n'était pour rien dans cette affaire.

«Le suspect a eu accès par le biais d'une mauvaise configuration d'une application et pas à cause de la structure sous-jacente du “cloud”», explique AWS dans un communiqué, avant d'ajouter: «ce type de vulnérabilité n'est pas spécifique au “cloud”».

Une précision qui ne surprend pas quand on sait qu'Amazon, comme Microsoft et Google construisent de véritables empires dans le «cloud», dont les marges sont très juteuses.

Reste qu'il demeure difficile de prévenir tous les coups, particulièrement lorsqu'un employé passe du côté obscur, affirme Darren Hayes, professeur de Sciences informatiques à Pace University, spécialisé dans la cybersécurité.

«C'est difficile d'attraper des gens bien qui tournent mal, et donc beaucoup de banques travaillent là-dessus» en faisant appel à des outils basés sur l'intelligence artificielle pour détecter des comportements déviants, explique-t-il.

Des pénalités plus sévères

Les clients des institutions financières peuvent difficilement mieux se parer contre ces fuites de données puisque les législations les obligent à fournir leurs renseignements personnels, comme leur numéro d’assurance sociale.

Pour Steve Waterhouse, si le gouvernement oblige ses citoyens à fournir cette information, il doit aussi exercer un pouvoir coercitif plus serré à l’endroit des compagnies qui échouent à remplir leur devoir de protection.

Dans le cas de Capital One, l’expert n’hésite pas à souligner la négligence de l’institution, qui a la possibilité d’améliorer ses méthodes de protection «en faisant une vérification plus serrée, systématique et fréquente du stockage des données».

«On a vu que l’étau se resserre, notamment avec Facebook qui a écopé d’une amende de 5 milliards $. [...] Il faut qu’il y ait des conséquences réelles et graves, un effet dissuasif pour empêcher que ça recommence», souligne Steve Waterhouse.

- Avec l'AFP