Fuite de données de la Qatar National Bank

Le 26 avril 2016, une archive de 1,4 Go contenant des documents internes et des dossiers clients de la Qatar National Bank (QNB) — la plus grande institution financière du Qatar et l'une des plus importantes du Moyen-Orient — a été publiée sur le site de partage de documents Cryptome. La fuite a exposé les informations bancaires de centaines de milliers de clients et, de manière plus frappante, ce qui semblait être des dossiers de renseignement compilés sur des personnalités en vue.

Ce qui s'est passé

L'archive comprenait 15 460 fichiers et détaillait plus de 100 000 comptes. Les chercheurs en sécurité analysant le contenu ont conclu que les attaquants avaient exploité une vulnérabilité par injection SQL dans l'application de banque en ligne de la QNB, à partir de laquelle ils ont pivoté vers le commutateur de paiement de la banque et potentiellement les systèmes bancaires centraux.

Élément crucial, les données les plus sensibles — notamment mots de passe, codes PIN et près d'un million de numéros de cartes de paiement avec dates d'expiration et coordonnées des titulaires — étaient stockées en clair, permettant à quiconque téléchargeait l'archive de les lire directement.

Ce qui a été exposé

• Noms, adresses, numéros de téléphone, soldes de comptes et historiques de transactions des clients.
• Près de 1 000 000 de numéros de cartes de paiement avec dates d'expiration et données de sécurité, non chiffrés.
• Fichiers d'entreprise internes sur l'activité de détail de la QNB et son application bancaire, y compris des accès de niveau administrateur.
• Dossiers étiquetés « Spy » contenant des dossiers de renseignement présumés, avec des fichiers marqués « MI6 », le bureau de sécurité d'État du Qatar (Mukhabarat), ainsi que les services de renseignement français et polonais.
• Dossiers nommant des membres de la famille royale régnante Al Thani du Qatar et des employés du diffuseur Al Jazeera.

Attribution

Un groupe d'extrême droite turc se faisant appeler Bozkurtlar (Grey Wolves) a revendiqué la responsabilité via une vidéo et un compte Twitter, affirmant également avoir piraté une seconde banque non nommée dont les dossiers remontaient à 2001. Les motivations du groupe n'ont jamais été établies de manière concluante, et aucune arrestation n'a été rendue publique.

La réponse de la QNB

La QNB a confirmé qu'elle enquêtait « en coordination avec toutes les parties concernées » mais s'est rapidement employée à minimiser l'impact, affirmant qu'une grande partie des données divulguées « avait été fabriquée et contient un mélange d'informations issues de l'attaque ainsi que d'autres sources non-QNB ». Des chercheurs indépendants ont contesté cette version, notant que les identifiants divulgués restaient fonctionnels et que les données structurées et cohérentes étaient difficiles à fabriquer à grande échelle.

Pourquoi c'est important

La fuite de la QNB est un exemple typique de défaillances d'hygiène de sécurité élémentaires dans une banque nationale de premier plan : une faille exploitable dans une application web, des données financières sensibles stockées sans chiffrement, et 1,4 Go exfiltrés sans détection. La présence de dossiers de type renseignement a également transformé une fuite financière en embarras pour la sécurité nationale, préfigurant les tensions cyber géopolitiques qui éclateraient autour du Qatar l'année suivante.