C'est à cause d'un serveur sur lequel l'authentification à deux facteurs n'avait pas été installée que des cyber-pirates ont pu exfiltrer les informations de 83 millions de clients de JPMorgan Chase plus tôt cette année. Selon le New York Times, qui cite des sources anonymes proches de l'enquête menée en interne et en externe chez JPMorgan, les pirates ont pu accéder à ce serveur après avoir volé les identifiants de connexion d'un employé de la banque américaine. Pourtant, l'usage de l'authentification à deux facteurs a été généralisé à la plupart des systèmes de la banque. L'authentification à deux facteurs combine l'usage de mots de passe statiques avec des codes d'accès à usage unique générés par des périphériques physiques ou des applications mobiles.
Apparemment, l'équipe de sécurité de JPMorgan aurait omis de déployer l'authentification à deux facteurs sur l'un des nombreux serveurs de l'entreprise. Or cette couche de sécurité supplémentaire aurait pu empêcher l'attaque, comme le rapporte le New York Times. De fait, au mois d'août dernier, après l'intrusion initiale, les attaquants ont pu accéder à plus de 90 serveurs de la banque, mais ils n'ont pas réussi à voler des informations financières sensibles, le système les ayant détectés et ayant bloqué l'intrusion. Néanmoins, les pirates ont pu s'emparer de listes de noms, avec adresses, numéros de téléphone et adresses e-mail, ainsi que des informations sur les secteurs d'activité des clients, comme l'avait déclaré JPMorgan sur son site en octobre. La faille avait été mise à jour après la mise en place, au mois d'août, d'un site externe pour une course de charité parrainée par la banque. JPMorgan a découvert que, pendant plusieurs mois, les attaquants avaient peut-être eu accès à d'autres de ses systèmes, comme le dit encore le New York Times dans son article.
Cette expérience illustre bien ce que disent les experts en sécurité depuis plusieurs années : le piratage d'un seul serveur ou d'un seul ordinateur peut mettre tout un réseau en danger. Les exemples d'attaques ayant pour point de départ une vulnérabilité dans un site Web public, exploitée ensuite sur le serveur sous-jacent pour s'introduire plus avant dans le réseau interne d'une entreprise, ne manquent pas. De la même façon, les cyber-espions commencent souvent par lancer de simples attaques de phishing sur les ordinateurs des employés pour pénétrer le réseau de leur cible, exploitant les failles de sécurité d'autres systèmes et les identifiants de ces employés. De fortes politiques de gestion des accès et une segmentation du réseau sont essentielles pour limiter l'étendue des dommages que les pirates peuvent infliger à une entreprise quand ils parviennent malgré tout à infiltrer un réseau. Cependant, pour des institutions comme JPMorgan, l'uniformisation des contrôles de sécurité peut être compliquée. Leurs réseaux sont très vastes et l'acquisition de nouvelles entreprises, dont les systèmes ont souvent des niveaux de sécurité différents, rend l'intégration difficile.