Piratage de Capital One : la hackeuse en a profité pour miner de la crypto

L’ingénieure informatique Paige Thompson est soupçonnée d’avoir piraté les données de plus de 100 millions d’utilisateurs américains des services du géant bancaire Capital One.

La simplicité avec laquelle la hackeuse a eu accès à des informations personnelles et financières sensibles ébranle le secteur. Des services de Cloud d’Amazon à Github, tous les acteurs semblent avoir failli. 

On apprend aujourd’hui que Paige Thompson en aurait profité pour miner de la cryptomonnaie via la puissance informatique disponible dans les clouds dédiés aux clients de la banque américaine, ce qui ne manque pas d’ironie.

Paige Thompson, the hacker next door

C’est un événement d’importance dans le monde de le cybersécurité, même s’il a eu relativement peu d’écho dans nos contrées : la banque américaine Capital One, 10ème établissement financier des Etats-Unis, a subi une attaque d’envergure aboutissant au piratage des données de plus de 100 millions de ses utilisateurs (dont 6 millions au Canada).

Au passage, ce sont quelques 140 000 numéros de sécurité sociale (un précieux sésame aux Etats-Unis), ainsi que de nombreuses data personnelles sensibles qui sont compromises dans l’opération. Capital One utilisait les services de cloud d’Amazon (AWS), ce sont les serveurs de ce géant du numérique qui ont été visés par la hackeuse.

Parlons-en de la hackeuse : si Desperate Housewive rencontrait Mr Robot, le résultat ressemblerait probablement assez à Paige Thompson ! Ingénieure informatique bossant pour une boite de serveurs, elle a également œuvré chez AWS, ce qui explique son excellente connaissance du fonctionnement interne du service (et de ses carences).

Ce qui va causer la perte de de Paige, ce n’est pas son manque de précaution (de Tor aux VPN, elle déploie l’arsenal habituel du pirate informatique consciencieux), mais plutôt sa propension à venir faire la maligne sur les réseaux sociaux afin de lourdement sous-entendre qu’elle se trouvait bien derrière ce piratage qui fait beaucoup parler. Les Etats-Unis, on le rappellera, se remettent alors à peine du scandale du piratage historique de l’agence de crédit Equifax, ayant compromis les données de 147 millions d’utilisateurs yankees.

Ainsi, notre hackeuse se répand t-elle sur Twitter, Slack et même Github – où elle semble avoir publié une partie de ses fichiers piratés. Il sera d’ailleurs reproché à Github d’avoier laissé en ligne des semaines durant ces informations avant de réagir.

C’est donc sans grande difficulté que « Erratic » – son nom de guerre indien – se fait finalement cueillir par le FBI.

Et la crypto dans tout ca ?

D’une part, il n’a pas fallu longtemps pour que les soutiens de Bitcoin en tant qu’alternative à un système financier à bout de souffle se saisissent de l’événement, sous l’angle de la supposée invulnérabilité de la blockchain. Anthony Pompliano, le célèbre évangéliste Bitcoin et co-fondateur de Morgan Creek Digital Assets, a ainsi rapidement réagi.

Capital One had over 100 million customers’ data accessed in a massive security breach.

No one has ever hacked Bitcoin.

It is the most secure computing network in the world 🙏🏽

— Pomp 🌪 (@APompliano) July 30, 2019

« Les données de plus de 100 millions de clients de Capital One ont été piratées dans le cadre d’une brèche de sécurité massive. Personne n’a jamais piraté Bitcoin. C’est le réseau informatique le plus sécurisé au monde ».

Un caillou de plus dans le jardin de la finance traditionnelle donc. L’honnêteté intellectuelle incite tout de même à rappeler que si des bases de données personnelles de type KYC ont effectivement été piratées, on demeure bien loin d’une atteinte au fonctionnement des infrastructures bancaires en tant que telles. Autrement dit, une telle mésaventure n’a aucune raison d’épargner la cryptosphère par principe, puisque cette situation pourrait tout à fait toucher des plateformes de changes crypto, même les plus importantes (comme par exemple Binance).

Mais ce qu’on retiendra surtout, c’est qu’on vient d’apprendre que l’accusée ne s’est pas contentée d’aspirer de la data au moment de son intrusion dans les serveurs d’AWS. En effet, enivrée peut-être par toute cette puissance de calcul disponible, « Erratic » semble en avoir profité pour installer un petit programme de minage des familles dans le cloud, tranquilou-bilou.

Mme Thompson aurait ainsi commis un « crypto-jacking ». L’opération avait vocation à permettre à la pirate de se créer un petit revenu passif lui laissant entrevoir une retraite anticipée bien méritée. Si les sommes amassées liées à ce détournement crypto-compatible n’ont pas filtré, cette dernière postait encore tout récemment : « si j’avais un partenaire, je pourrais lui faire reprendre mon entreprise de piratage crypto et rester à la maison ».

L’affaire se poursuivra donc prochainement en justice : une cour fédérale vient de se saisir du cas de Mme Thompson et elle risque 25 ans de prison.