Un ingénieur en logiciel de Seattle a piraté un serveur contenant des informations sur les clients de Capital One et a obtenu les données personnelles de plus de 100 millions de personnes, ont déclaré lundi les procureurs fédéraux, lors de l’un des plus grands vols de données d’une banque.

La suspecte, Paige Thompson, 33 ans, a laissé une trace en ligne que les enquêteurs doivent suivre alors qu’elle se vantait du piratage informatique, selon des documents judiciaires à Seattle, où elle a été arrêtée et accusée d’un chef d’accusation de fraude et d’abus informatiques.

Mme Thompson, qui travaillait auparavant pour Amazon Web Services, qui hébergeait la base de données Capital One qui avait été violée, n’a pas hésité à travailler en tant que pirate informatique. Elle est répertoriée comme organisatrice d’un groupe sur Meetup, un réseau social appelé Seattle Warez Kiddies, décrit comme un rassemblement pour «quiconque apprécie les systèmes distribués, la programmation, le piratage, le cracking».

[What we know about Paige Thompson, the software engineer accused in the Capital One data breach.]

Le FBI a remarqué son activité sur Meetup et l’a utilisée pour retracer ses autres activités en ligne, la liant finalement à des publications décrivant le vol de données sur Twitter et le service de messagerie Slack.

« Je me suis essentiellement attaché avec un gilet anti-bombe », a écrit Mme Thompson dans un article de Slack, selon les procureurs, « abandonnant les dox majeures et l’admettant. »

En ligne, elle a utilisé le nom «erratique», ont déclaré les enquêteurs, ajoutant qu’ils avaient vérifié son identité après avoir publié une photo d’une facture qu’elle avait reçue d’un vétérinaire s’occupant d’un de ses animaux de compagnie.

Selon les documents judiciaires et Capital One, Mme Thompson a volé 140 000 numéros de sécurité sociale et 80 000 numéros de compte bancaire dans la brèche.

En plus des dizaines de millions de demandes de cartes de crédit volées, le société a déclaré lundi, la violation a compromis un million de numéros d’assurance sociale canadiens – l’équivalent des numéros de sécurité sociale pour les Américains.

Les informations provenaient de demandes de carte de crédit que les consommateurs et les petites entreprises avaient soumises dès 2005 et aussi récemment qu’en 2019, selon Capital One, qui est le troisième plus grand émetteur de cartes de crédit du pays, selon son site Web.

« Sur la base de notre analyse à ce jour », a déclaré la banque dans un communiqué, « nous pensons qu’il est peu probable que les informations aient été utilisées à des fins de fraude ou diffusées par cet individu. »

La banque a également déclaré qu’elle s’attendait à ce que la violation lui coûte jusqu’à 150 millions de dollars, y compris le paiement de la surveillance du crédit pour les clients concernés. La semaine dernière, le bureau de crédit Equifax a réglé les réclamations d’une violation de données en 2017 qui a exposé des informations sensibles sur plus de 147 millions de consommateurs, ce qui lui a coûté environ 650 millions de dollars.

Amazon Web Services héberge les serveurs de données distants que les entreprises utilisent pour stocker leurs informations, mais les grandes entreprises comme Capital One créent leurs propres applications Web en plus des données cloud d’Amazon afin de pouvoir utiliser les informations de manière spécifique à leurs besoins.

L’agent du FBI qui a enquêté sur la violation a déclaré dans des documents judiciaires que Mme Thompson avait eu accès aux données sensibles grâce à une «mauvaise configuration» d’un pare-feu sur une application Web. Cela a permis au pirate de communiquer avec le serveur sur lequel Capital One stockait ses informations et, éventuellement, d’obtenir des fichiers clients.

Amazon a déclaré que ses clients contrôlaient entièrement les applications qu’ils ont créées et Capital One m’a dit dans un communiqué de presse qu’il avait «immédiatement corrigé la vulnérabilité de configuration» une fois qu’il avait découvert le problème. Amazon a déclaré qu’il n’avait trouvé aucune preuve que ses services cloud sous-jacents étaient compromis.

Le 17 juillet, un informateur a écrit à une hotline de sécurité de Capital One, avertissant que certaines des données de la banque semblaient avoir été «divulguées», selon la plainte pénale.

Une fois alertées de la violation, les autorités ont découvert ce qu’elles disaient être les vantardises en ligne de Mme Thompson selon lesquelles elle voulait «distribuer» les documents. Le 27 juin, elle a également énuméré «plusieurs entreprises, entités gouvernementales et établissements d’enseignement», selon des documents judiciaires, que les enquêteurs ont interprétés comme d’autres piratages qu’elle «aurait pu commettre».

D’autres utilisateurs de ce canal, sur Slack, ont exprimé leur inquiétude. L’un d’eux a dit «n’allez pas en prison plz», selon la plainte.

Lundi, des agents du FBI ont exécuté un mandat de perquisition sur la maison de Mme Thompson. Ils ont saisi «de nombreux appareils numériques», ont déclaré les procureurs, et y ont trouvé «des éléments faisant référence à Capital One» et à Amazon, auxquels ils se référaient uniquement sous le nom de «société de cloud computing».

«Je suis profondément désolé pour ce qui s’est passé», a déclaré le directeur général de la banque, Richard D. Fairbank, dans un communiqué. «Je m’excuse sincèrement pour l’inquiétude compréhensible que cet incident doit causer aux personnes touchées, et je m’engage à y remédier.»

Capital One a déclaré que les numéros de compte bancaire étaient liés à des clients avec des cartes de crédit «sécurisées». Les cartes sécurisées obligent les clients à verser une somme d’argent – 200 $ ou 250 $ – en échange d’une carte.

«C’est un moyen pour les banques de minimiser le risque associé aux prêts aux personnes qui n’ont pas un crédit parfait ou qui ne font que commencer», a déclaré Matt Schulz, analyste chez Compare Cards. Ces clients sont vulnérables, a-t-il déclaré, et «ont souvent très peu de marge d’erreur financière».

Bien que la violation ait été possible en raison d’une défaillance de la sécurité de Capital One, elle a été aidée par l’expertise de Mme Thompson. Des informations publiées sur les médias sociaux montrent qu’elle a travaillé à un moment donné pour Amazon, en tant qu’ingénieur pour la même entreprise de serveurs que celle utilisée par les documents judiciaires que Capital One utilisait.

Capital One est un client de longue date et de premier plan d’Amazon. Lors d’un discours d’ouverture de 2015 lors de la principale conférence annuelle d’Amazon Web Services, un cadre fait une présentation sur les efforts de l’entreprise pour déplacer des parties critiques de sa technologie vers l’infrastructure cloud d’Amazon afin qu’elle puisse se concentrer sur la création d’applications grand public et d’autres besoins.

Mme Thompson restera sous garde fédérale jusqu’à une audience jeudi, ont indiqué les procureurs. Son avocat n’a pas répondu à un courriel sollicitant des commentaires.

Capital One a déjà été confronté à des failles de sécurité, et elles constituent une menace constante et coûteuse pour le secteur financier. Le chef de JPMorgan Chase, Jamie Dimon, a déclaré que sa banque dépensait près de 600 millions de dollars par an pour la sécurité. Le chef de Bank of America a déclaré dans le passé que la banque avait un «chèque en blanc» pour la cybersécurité.

Lors d’une brèche en 2017, Capital One clients notifiés qu’un ancien employé peut avoir eu accès pendant près de quatre mois à ses données personnelles, y compris les numéros de compte, les numéros de téléphone, l’historique des transactions et les numéros de sécurité sociale. L’entreprise a signalé une violation similaire impliquant un employé en 2014.

Sur Meetup, Mme Thompson a publié avec enthousiasme sur le piratage. «Je voulais organiser quelque chose comme une soirée de piratage ou quelque chose de bientôt», a-t-elle écrit le 13 mai.

«Ces deux dernières semaines ont été folles, et ma chatte a dû aller chez le vétérinaire tous les jours la semaine dernière mais elle commence enfin à récupérer peut-être ce mercredi à Capitol Hill? Je vais faire un truc toute la journée chez Starbucks jusqu’à ce qu’ils ferment, je n’ai rien de mieux à faire.