L’été 2019 aura montré la fragilité des infrastructures bancaires à l’international, avec différentes fuites de données plus ou moins importantes.
C’est le Mouvement Desjardins, réseau de caisses mutualiste québécois, qui a ouvert le bal le 20 juin dernier, en révélant avoir été victime d’un vol de données. Depuis décembre 2018, les données de 2,9 millions de membres – particuliers comme entreprises – auraient été transmises illégalement à des tiers. Selon la direction de Desjardins, un employé serait à l’origine de la fuite de données confidentielles, comprenant entre autres, noms, numéros d’assurance sociale, dates de naissance, adresses courriel et plusieurs autres informations liées aux transactions effectuées. Comble d’ironie, le Mouvement Desjardins demande à ses clients de se rapprocher d’Equifax, spécialisée dans la sécurité informatique et la protection des données privées, pour vérifier s’ils sont concernés ; or la société américaine avait elle-même été victime d’un vol de données important en juillet 2017.
En juillet dernier, Paige Thompson, une pirate de Seattle, s’est vantée sur GitHub d’avoir infiltré le réseau de Capital One, cinquième émetteur de cartes de crédit aux États-Unis, pour y dérober les données personnelles (noms, adresses, codes postaux, numéros de téléphone, dates de naissance, adresses e-mail, historiques de paiement ou encore déclaration de revenus) de 106 millions de personnes ayant fait une demande de carte auprès de la banque.
Même la BCE et Mastercard !
Le 5 août, la FinTech britannique Monzo demande à ses clients de changer le code PIN de leur carte bancaire, car une faille de son système d’information exposait en clair ce code à des personnes n’ayant aucune raison d’y accéder : « Nous avons découvert que nous avions également enregistré les codes PIN de certaines personnes dans une autre partie de nos systèmes internes (dans des fichiers journaux encryptés). Les ingénieurs chez Monzo ont accès à ces fichiers journaux dans le cadre de leur travail. Nous avons supprimé les informations que nous avions stockées de cette façon. » Sans dégât avéré, semble-t-il.
Et le 15 août, c’est au tour de la Banque Centrale Européenne de fermer le site externe de son dictionnaire sur le reporting intégré des banques (Banks’ Integrated Reporting Dictionary – BIRD) jusqu’à nouvel ordre, car il a été piraté et des adresses électroniques et d’autres données de contact pourraient avoir été récupérées. En revanche, les systèmes internes et les données sensibles de marché ne sont pas compromis.
Le dernier épisode en date touche MasterCard Allemagne : 90 000 abonnés de son programme « Priceless Specials » ont vu leurs informations personnelles piratées et publiées sur Internet. L’émetteur a immédiatement fermé le programme dans ce pays. Ce n’était pas pour lui la première difficulté : certains abonnés se sont en effet récemment plaint que leur bonus était attribué à d’autres personnes. Sans que rien n’indique pour l’instant que les deux problèmes soient liés.
