Fuite de données JPMorgan Chase

Le 2 octobre 2014, JPMorgan Chase — la plus grande banque des États-Unis — a révélé dans un dépôt réglementaire que des attaquants avaient compromis les coordonnées de 76 millions de foyers et 7 millions de petites entreprises, soit plus de 83 millions de comptes au total. Il s'agit de l'une des plus importantes intrusions informatiques jamais subies par une institution financière américaine.

Ce qui s'est passé

Les attaquants ont pris pied initialement vers juin 2014 en exploitant un serveur qui n'avait pas été mis à niveau pour exiger l'authentification à deux facteurs. La plupart des systèmes de JPMorgan imposaient une connexion multifactorielle, mais ce serveur oublié permettait à des identifiants volés de fonctionner avec un simple mot de passe. À partir de là, les intrus se sont déplacés latéralement et ont finalement obtenu l'accès à plus de 90 serveurs au sein du réseau de la banque.

JPMorgan a détecté l'intrusion fin juillet 2014 et l'a contenue à la mi-août, en collaboration avec le FBI et le Secret Service américain.

Ce qui a été exposé

Les données dérobées étaient des coordonnées plutôt que des dossiers financiers :

• Noms
• Adresses e-mail
• Adresses postales
• Numéros de téléphone
• Informations internes de JPMorgan concernant les utilisateurs affectés

La banque a indiqué qu'il n'existait aucune preuve que des numéros de compte, mots de passe, numéros de sécurité sociale ou dates de naissance aient été compromis, ni de preuve de fraude directement liée à la compromission.

Attribution et poursuites

L'intrusion a ensuite été reliée à une vaste entreprise criminelle. En novembre 2015, les procureurs américains du district sud de New York ont inculpé Gery Shalon, Joshua Samuel Aaron et Ziv Orenstein, qualifiant l'affaire de plus important vol connu de données clients dans une institution financière américaine. Le stratagème couvrait des opérations de manipulation boursière (« pump-and-dump »), des jeux d'argent en ligne illégaux et du traitement de paiements, utilisant des listes de contacts volées pour promouvoir des titres manipulés. Le pirate présumé ayant mené les intrusions, Andrei Tyurin, a été extradé en 2018 et condamné à 12 ans de prison en 2021 ; Shalon a renoncé à des centaines de millions de dollars.

Impact

Bien qu'aucun vol financier direct sur des comptes clients n'ait été attribué à la compromission, son ampleur a alarmé les régulateurs et le public, dans un contexte de vague de fuites majeures aux États-Unis. JPMorgan s'est publiquement engagé à doubler son budget annuel de cybersécurité, d'environ 250 millions à 500 millions de dollars, au cours des années suivantes.

Pourquoi c'est important

La compromission de JPMorgan illustre la leçon canonique selon laquelle un seul contrôle négligé peut anéantir un programme de sécurité par ailleurs solide. Un unique serveur dépourvu d'authentification à deux facteurs a donné aux attaquants l'accès à plus de 90 systèmes au sein de la banque la mieux dotée du pays. Elle a ancré l'authentification multifactorielle généralisée comme exigence de référence pour les institutions financières et a démontré comment des données de contact volées peuvent alimenter des stratagèmes de fraude financière et de manipulation boursière à grande échelle plutôt que la seule usurpation d'identité.