La banque américaine Capital One Financial a annoncé lundi que des données personnelles de 106 millions de ses clients américains et canadiens avaient été volées récemment et que la voleuse, une ingénieure en informatique, avait été appréhendée par le FBI.
Cette intrusion est un des plus importants piratages informatiques affectant une grande banque américaine, Capital One étant le cinquième émetteur de cartes de crédit bancaires aux États-Unis.
L'établissement «a déterminé qu'un individu extérieur a eu un accès non autorisé (à son réseau) et a obtenu certaines informations personnelles». «Ni les numéros de compte de carte bancaire ni les informations pour se connecter à des comptes bancaires n'ont été volés. Et plus de 99% des numéros de sécurité sociale n'ont pas été compromis», précise la firme.
Les informations illégalement obtenues appartiennent aux consommateurs ainsi qu'aux petites entreprises s'étant adressés à Capital One entre 2005 et début 2019. Elles vont des noms, adresses, codes postaux, numéros de téléphone, aux adresses e-mail en passant par les dates de naissance ou encore les revenus déclarés.
La hackeuse, qui s'est servie d'une faille dans un serveur d'informatique dématérialisée (cloud) de Capital One, a aussi obtenu des informations partielles sur des détenteurs de cartes de crédits bancaires, comme leur historique des paiements ou leur solde courant. Pour les clients canadiens, près d'un million de numéros d'assurance ont été piratés, précise Capital One.
La hackeuse encourt cinq ans de prison
La banque, qui dit avoir colmaté la brèche le 19 juillet deux jours après en avoir été informée par un utilisateur du site internet GitHub, explique que le piratage a eu lieu entre le 12 mars et le 17 juillet de cette année.
La voleuse supposée serait une Américaine du nom de Paige Thompson, 33 ans. Elle vit à Seattle dans l'Etat de Washington où elle a été arrêtée lundi par le FBI. «Capital One a informé rapidement les autorités compétentes du vol de données ce qui a permis au FBI de retrouver la trace de l'intrus», a expliqué Brian Moran, le représentant du ministère de la Justice (DoJ) dans l'État de Washington, dans un communiqué.
Selon des documents judiciaires, la femme de 33 ans aurait utilisé le pseudonyme «Erratic» dans des conversations sur les réseaux sociaux et sites internet pour se vanter de son forfait.
Une audience judiciaire est prévue jeudi à Seattle. Paige Thompson encourt plus de cinq ans de prison et une amende de 250.000 dollars, selon le DOJ.