JP Morgan serait loin d'être la seule banque à avoir été attaquée par ce groupe de pirates. Il s'agirait en réalité d'une vague d'intrusions, dont l'ampleur exacte reste inconnue.
Elle aurait permis aux assaillants « d'infiltrer environ 9 autres établissements financiers », explique le New York Times en s'appuyant sur des sources proches de l'enquête.
De nombreux points à éclaircir
Peu de détails ont été révélés par les canaux officiels. D'ailleurs, le journal américain n'a pas pu obtenir les noms des établissements infiltrés et ignore toujours ce à quoi les pirates ont pu accéder.JP Morgan, seule banque à avoir communiqué sur le sujet, affirme que les responsables n'ont pu accéder qu'aux noms des clients et à d'autres informations non-financières. Le personnel chargé de la sécurité de la banque aurait repéré l'attaque avant que les assaillants n'accèdent aux données sensibles. Ceci étant dit, l'intrusion n'aurait pas été entièrement arrêtée avant la mi-août alors qu'elle avait débuté en juillet.
Pour ce qui est de l'identité des pirates, les autorités en charge de l'enquête pencheraient pour un groupe opérant depuis la Russie. Ils auraient une « vague connexion » avec des membres du gouvernement de Moscou.
Les motivations des pirates restent, elles aussi, inconnues. Cependant, ces attaques pourraient avoir été menées en représailles aux sanctions visant la Russie dans le cadre de la crise ukrainienne, présument les services de renseignement américains.
Une brèche dans les systèmes mais aussi dans la loi ?
Outre l'aspect sécuritaire, l'attaque met en évidence une potentielle lacune dans la loi américaine. On apprend aujourd'hui que l'incident a bien plus d'ampleur qu'il n'y parait. Peut être qu'une meilleure information aurait permis de limiter l'intrusion ou d'aider à faire avancer l'enquête. Seulement, les banques en ligne ne sont pas obligées de communiquer sur les événements ayant pu compromettre les données des clients à moins qu'ils leur aient fait perdre de l'argent.Dans certains Etats américains, les banques peuvent attendre jusqu'à un mois avant d'informer les autorités et les clients de ce type d'incident. La loi californienne, par exemple, impose simplement un délai « raisonnable », une définition sujette à interprétations. Il est alors difficile, dans un tel contexte, de lutter efficacement contre ce type de piratage.
La France n'est pas mieux lotie : les banques ne sont pas tenues d'informer les clients lors d'une fuite de données. Pour l'instant, seuls les fournisseurs d'accès et opérateurs ont l'obligation de notifier la CNIL ou les clients. Cependant, le régulateur français et ses équivalents européens cherchent à étendre ces exigences à l'ensemble des services en ligne.