JPMorgan Chase 2014

En octobre 2014, JPMorgan Chase annonce que des attaquants ont accédé aux coordonnées — noms, adresses, numéros de téléphone, adresses email — d’environ soixante-seize millions de foyers et sept millions de petites entreprises. Aucun vol d’argent n’est signalé et aucun identifiant de compte ni numéro de sécurité sociale n’aurait été pris. Les seuls chiffres en font l’une des plus grandes brèches du secteur financier jamais enregistrées.

Un seul serveur oublié

L’intrusion est remontée jusqu’à un serveur qui n’avait pas été mis à niveau pour exiger une authentification à deux facteurs. Les attaquants obtiennent les identifiants d’un employé, les utilisent sur le serveur non protégé, et de là naviguent vers des dizaines de systèmes internes sur une période de plusieurs mois avant d’être détectés. Le contraste — une banque qui dépensait des centaines de millions en sécurité défaite par une seule machine à laquelle manquait un seul contrôle — devient le titre durable.

Pas qu’une brèche

Ce qui distingue JPMorgan 2014, c’est ce qui vient après. Les procureurs américains révèlent que la brèche était une composante d’une vaste entreprise criminelle dirigée par Gery Shalon et ses associés : manipulation boursière de type pump-and-dump, jeu en ligne illégal, et traitement de paiements sans licence. Les coordonnées dérobées étaient la matière première d’un spam de promotion d’actions visant précisément les clients dont les détails avaient été pris. Cela recadre la brèche, de l’espionnage ou du vol de cartes vers une infrastructure de manipulation de marché.

Ce que la chronique retient

JPMorgan 2014 est le cas qui a fusionné fuite de données et fraude boursière en un seul récit. Il est aussi devenu l’exemple debout du mode de défaillance « un serveur sans MFA » — cité dans les comités de direction pendant une décennie comme la raison pour laquelle les contrôles d’identifiants ne peuvent pas être appliqués à la plupart des systèmes, mais pas à tous.