Pour une banque qui indique investir 2,3 milliards de dollars dans ses systèmes informatiques, l'addition est particulièrement salée. L'établissement Unicredit, la deuxième banque en Italie, a indiqué hier avoir été victime d'exploitation de vulnérabilités ayant permis à des pirates d'accéder à 400 000 données clients. Si aucun mots de passe d'accès aux comptes figurent parmi les données volées, ce n'est pas le cas en revanche pour les numéros de compte IBAN de ses clients qui sont actuellement dans la nature.
« Un grand nombre de violations de données proviennent de fournisseurs ou de sous-traitants compromis. C’est le cas dans le cadre du piratage de données dont a été victime Unicredit, puisque les pirates ont semble-t-il accédé aux données par l’intermédiaire d’un partenaire commercial externe. La source du problème est que relativement souvent la plupart des partenaires ont accès à beaucoup plus d'informations que ce dont ils ont réellement besoin pour faire leur travail et que leurs activités avec ses données ne sont pas surveillées ou analysées pour y détecter un comportement malveillant. En conséquence, les pirates qui arrivent à compromettre l’un de ces partenaires peuvent ensuite accéder et s'approprier des informations très sensibles, souvent sans que personne ne le sache », explique Christophe Badot, directeur France de l'éditeur Varonis.
Des mesures correctives immédiates prises
Dans un communiqué, Unicredit indique qu'une première brèche est survenue en octobre 2016 et qu'une seconde a été identifiée en juin et juillet 2017. « Unicredit a lancé une vérification et a informé toutes les autorités concernées. Dans la matinée, Unicredit déposera une demande auprès du bureau du Procureur de Milan. La banque a également pris des mesures correctives immédiates pour clore cette violation », indique la société. Unicredit précise par ailleurs avoir mis un numéro de téléphone dédié et rentrera en contact avec ses clients touchés « au travers de canaux spécifiques n'incluant ni email, ni téléphone ».