Il faut remonter à juillet 2019 pour comprendre l’affaire. A l’époque, Capital One affirme avoir été victime d’une cyberattaque de grande ampleur : les données de plus de 100 millions de clients de la banque sont alors dérobées et publiées sur GitHub. Fin juillet, une ancienne employée d’AWS, Paige A. Thompson, est interpellée par les autorités américaines. Alors âgée de 33 ans, cette ingénieure poste les informations piratées sur GitHub en son nom propre depuis Seattle. Elle se serait également vantée de son exploit sur plusieurs réseaux sociaux.
On apprend alors qu’elle a profité d’une mauvaise configuration d'un firewall connecté à un bucket S3 d’AWS pour y pénétrer et y voler les numéros de cartes bancaires de 100 millions de clients américains et 6 millions de canadiens affiliées à Capital One. Parmi les données volées, on retrouve des adresses, codes postaux, numéros de téléphones, adresses e-mail, dates de naissance et déclarations de revenus. Des informations bancaires, comme les historiques de paiement, le solde, etc. étaient aussi accessibles. Pour couronner le tout, 140 000 numéros de sécurité sociale et 80 000 numéros de comptes bancaires liés faisaient également partie des informations accessibles sur GitHub. De fait, en décembre 2021, Capital One a accepté de payer 190 millions de dollars pour régler un recours collectif lié à la violation, en plus d'un accord antérieur prévoyant le paiement de 80 millions de dollars d'amendes réglementaires. Aujourd’hui, l’affaire prend un autre tournant puisque Paige Thompson a été reconnue coupable vendredi dernier de plusieurs crimes fédéraux.
Coupable de 7 chefs d’accusation
Paige Thompson a travaillé pour AWS en tant qu’ingénieure jusqu’en 2016, d’où sa facilité à s’attaquer à des comptes mal configurés sur AWS. Ce 17 juin, elle a été reconnue coupable de sept crimes fédéraux, dont la fraude électronique, qui peut entraîner jusqu'à 20 ans de prison. Les autres chefs d'accusation, notamment l'accès illégal et l'endommagement d'un ordinateur protégé, sont passibles d'une peine maximale de cinq ans de prison. Un jury a déclaré Paige Thompson non coupable de vol d'identité aggravé et de fraude au dispositif d'accès après 10 heures de délibérations, selon un communiqué. La jeune femme travaillait sous le nom de « erratic » et avait créé un outil permettant de rechercher des comptes mal configurés sur AWS, piratant ainsi par la suite plus de 30 clients d'Amazon, dont Capital One.
Les procureurs ont affirmé que Paige Thompson a également utilisé son accès à certains des serveurs pour extraire des crypto-monnaies qui ont été transférées dans son propre portefeuille. Pour sa défense, l’équipe juridique de Paige Thompson a déclaré qu’elle avait utilisé les mêmes outils et méthodes que les hackers éthiques à la recherche de vulnérabilités logicielles. Seul hic, ces derniers sont censés les signaler aux entreprises afin que les failles soient corrigées, chose que la jeune femme n’a pas faite. L’affaire devrait connaître un dernier rebondissement le 15 septembre prochain lorsque le juge de district américain Robert S. Lasnik déterminera la peine de Paige Thompson.
Commentaire