Il y a 3 ans, la banque américaine Capital One a été victime d’une cyberattaque. La personne à l’origine des faits a été reconnue coupable de 7 chefs d’accusation. Pour cette violation de données, la jeune femme, Paige A. Thompson, encourt jusqu’à 20 ans de prison.
Plus de 100 millions de clients américains touchés par ce piratage massif
Pour bien cerner la situation, il est préférable de remonter au mois de juillet 2019. Capital One avait alors assuré avoir été la cible d’une vaste cyberattaque, et que plus de 100 millions d’informations personnelles de ses clients avaient été volées et avaient fuité sur GitHub. Paige A. Thompson, une ex-employée d’AWS, a été arrêtée par les forces de l’ordre américaines vers la fin du mois de juillet. La hackeuse, une ingénieure de 33 ans, publie depuis Seattle les données volées sur GitHub en son nom. La jeune femme a également vanté sa prouesse sur diverses plateformes de réseaux sociaux.
Par la suite, il a été révélé que celle-ci a tiré parti d’une mauvaise configuration d’un pare-feu connecté à un bucket S3 d’AWS en vue d’y accéder et de dérober les numéros de cartes bancaires de 100 millions de clients américains et de 6 millions de Canadiens membres de Capital One. Les informations volées comprenaient notamment des adresses, des codes postaux, des numéros de téléphone, des adresses électroniques, des dates de naissance et des déclarations de revenus. Par ailleurs, les données financières telles que l’historique des paiements, le solde, etc. ont également été extraites. En prime, les informations disponibles sur GitHub comprenaient 140 000 numéros de sécurité sociale et 80 000 coordonnées de comptes bancaires connectés. En réalité, en plus d’un accord antérieur pour payer 80 millions de dollars d’amendes réglementaires, Capital One a consenti à payer 190 millions de dollars en décembre 2021 en règlement d’un recours collectif relatif à cette violation. Depuis que Paige Thompson a été reconnue coupable de nombreuses infractions fédérales il y a quelque temps, cette affaire connaît un rebondissement.
La hackeuse, condamnée pour 7 chefs d’accusation
Jusqu’en 2016, Paige Thompson était ingénieur chez AWS, ce qui a contribué à son aisance à traiter les comptes AWS mal configurés. Le 17 juin dernier, la jeune femme a été reconnue coupable de 7 crimes fédéraux, incluant la fraude électronique, qui est passible d’une peine maximale de 20 ans de prison. La peine maximale pour les autres infractions, telles que l’accès non autorisé et la destruction d’un ordinateur protégé, est de cinq ans de prison. Après 10 heures de délibérations, un jury a déclaré Paige Thompson non coupable de vol d’identité aggravé et de fraude aux dispositifs d’accès, rapporte un communiqué de presse. Travaillant sous le pseudonyme « erratic », la jeune femme avait développé un outil destiné à trouver les comptes AWS mal configurés, pour finalement voler plus de 30 clients Amazon, dont Capital One.
Selon l’accusation, alors qu’elle avait accès à certains des serveurs, Paige Thompson a également extrait des crypto-monnaies qui ont été envoyées vers son propre portefeuille. Les défenseurs de Paige Thompson ont fait valoir que celle-ci effectuait des recherches de vulnérabilités de logiciels en utilisant les mêmes ressources et techniques que les hackers éthiques. Le seul problème est que ces derniers sont supposés avertir les entreprises afin que les anomalies soient corrigées, ce qui a été omis par la jeune femme.
Le 15 septembre, alors que le juge de district américain Robert S. Lasnik décidera de la sentence de Paige Thompson, l’affaire pourrait prendre un dernier tournant.