Ingénieur chez Amazon jusqu’en 2016, une hackeuse s’est emparée en 2019 des données personnelles de plus de 106 millions de clients américains et canadiens de la banque Capital One. Le procès de la pirate, qui a duré sept jours, s’est clos vendredi 17 juin. À l’issue de celui-ci, Paige Thompson, 36 ans, a été reconnue coupable de fraude électronique et de plusieurs autres chefs d’accusations. Elle risque jusqu’à vingt ans de prison.

La pirate a utilisé les serveurs de la banque pour miner des cryptomonnaies

En juillet 2019, la banque Capital One a reçu un signalement indiquant une fuite de données provenant de ses espaces de stockage dans le cloud, fournies par Amazon Web Service (AWS). Ce sont 100 millions de clients américains et 6 millions de clients canadiens qui étaient concernés par ce vol de données. Parmi les informations se trouvent leur nom, adresse, numéro de téléphone, adresse mail ou encore les revenus déclarés.

Étrangement, le nom de Paige Thompson apparaissait en toutes lettres sur une page GitHub, site collaboratif servant à partager du code informatique. Elle y a diffusé une partie des données volées, accessibles librement. Le FBI n’a alors eu aucun mal à arrêter l’ancienne employée d’Amazon. Elle était parvenue à accéder à l’espace de stockage AWS de la banque grâce à une faille dans le pare-feu de l’application web du service. Le procureur, Nick Brown, a précisé lors du jugement qu’elle a utilisé un outil pour scanner AWS à la recherche d’erreurs de configuration.

Elle a pu ainsi siphonner les données de plus de trente entités, dont Capital One. La pirate ne s’est pas contentée de cette prise, elle a également implanté des logiciels de minage de cryptomonnaies sur les serveurs cloud. Cryptomonnaies qui étaient directement transférés sur son portefeuille virtuel.

La sécurité informatique de la banque était défectueuse

Paige Thompson a également partagé une partie des données volées sur la messagerie Slack. Dans une conversation de groupe avec d’autres hackers, elle partage les fichiers et se vante de les posséder. Ces éléments, faciles d’accès pour les forces de l’ordre, ont servi de preuve lors du procès. Celui-ci s’est clôturé le 17 juin et la jeune femme a été reconnue coupable de fraude électronique, un crime qui peut conduire jusqu’à vingt ans de prison.

Elle est aussi reconnue coupable de sept chefs d’accusations, dont l’accès illégal à un ordinateur protégé et l’endommagement de celui-ci. Le jury, qui a délibéré pendant plus de dix heures, ne l’a en revanche pas reconnu coupable de fraude au dispositif d’accès, le système qui permet d’accéder aux espaces de stockage, ni de vol d’identité aggravé.

Une part de la responsabilité a été rejetée sur la banque Capital One. En août 2020, elle a dû payer une amende de 80 millions de dollars, infligée par l’Office of the Comptroller of the Currency, un bureau indépendant du département de la trésorerie des États-Unis. Le motif de cette peine était la sécurité défectueuse du service de cloud public utilisé par la banque. Les clients affectés par le vol de données ont été dédommagés à hauteur de 190 millions de dollars.

Durant l’audience, le procureur a terminé sa plaidoirie en expliquant que Paige Thompson « voulait des données, elle voulait de l’argent, et elle voulait s’en vanter. » La condamnation et la peine exacte seront annoncées le 15 septembre 2022.

Les États-Unis ne prennent pas à la légère les enjeux liés à la cybersécurité. En 2021, l’administration Biden en a fait sa priorité, allant jusqu’à ne plus laisser le droit à l’erreur aux entreprises qui travaillent pour le gouvernement.