Capital One a été la cible d'un des plus importants piratages informatiques visant une grande banque américaine. L'institution a annoncé lundi que les renseignements personnels de 106 millions de ses clients nord-américains, dont 6 millions de Canadiens, avaient été dérobés par un pirate informatique, qui a déjà été arrêté par le FBI.

D'après le communiqué publié par Capital One Canada, le piratage a été commis les 22 et 23 mars 2019. « Un individu extérieur a eu un accès non autorisé [à notre réseau] et a obtenu certaines informations personnelles », indique la banque.

Capital One, qui a confirmé le piratage le 19 juillet dernier, deux jours après qu'un chercheur en sécurité externe lui eut signalé une vulnérabilité du système, dit avoir colmaté la brèche « immédiatement ».

La voleuse de données, qui a profité d'une faille dans un serveur d'informatique dématérialisée (cloud) de la banque, aurait principalement eu accès aux informations de consommateurs et de petites entreprises ayant soumis une demande pour une carte de crédit entre 2005 et le début de 2019 : noms, adresses, numéros de téléphone, adresses courriel, revenus et date de naissance, etc.

D'autres informations, comme les cotes de crédit, les limites de crédit, les soldes et les habitudes de paiement, ont aussi été piratées, ainsi que certaines données sur des transactions effectuées sur un total de 23 jours de 2016 à 2018.

Au Canada, le numéro d'assurance sociale d'environ 1 million de clients a aussi été compromis.

Capital One – le cinquième émetteur de cartes de crédit bancaire aux États-Unis – dit poursuivre son enquête, mais se fait rassurante. « Selon l’analyse que nous avons effectuée à ce jour, nous estimons qu’il est peu probable que l’individu ait utilisé les renseignements à des fins frauduleuses ou qu’il les ait disséminés », dit-elle dans son communiqué.

« Ni les numéros de compte de carte bancaire ni les informations pour se connecter à des comptes bancaires n'ont été volés. Et plus de 99 % des numéros de sécurité sociale n'ont pas été compromis », ajoute-t-elle.

La banque indique qu'elle offrira sans frais aux Américains et aux Canadiens touchés des services de surveillance du crédit et une assurance contre le vol d’identité. Elle ne précise pas pour l'instant lesquels de ses clients ont été touchés. Au Canada, Capital One émet notamment des cartes de crédit pour Costco et pour La Baie d'Hudson.

Arrestation rapide

« Capital One a informé rapidement les autorités compétentes du vol de données, ce qui a permis au FBI de retrouver la trace de l'intrus », a expliqué Brian Moran, le représentant du département de la Justice dans l'État de Washington, dans un communiqué.

Selon la plainte déposée par le département de la Justice, la personne accusée dans cette affaire est Paige Thompson, domiciliée à Seattle, dans l'État de Washington.

Sous le pseudonyme Erratic, Mme Thompson s'est targuée d'être l'auteure de cette fraude sur les réseaux sociaux. Elle y a notamment déclaré « qu'elle détenait des informations de Capital One, et qu'elle reconnaissait avoir enfreint la loi », peut-on lire dans la plainte du FBI.

L'arrestation de Mme Thompson survient quelques jours après qu'Equifax, l'agence de crédit américaine, eut été contrainte de payer une amende de 700 millions de dollars américains pour le vol de données de plus de 150 millions de clients en 2017.

Récemment, 2,9 millions de membres de Desjardins ont aussi été victimes d'un vol de données.