Une banque est contrainte de changer 12 millions de cartes bancaires à cause d’un leak rarissime
Événement exceptionnel dans le monde bancaire : la clé maîtresse de la banque postale sud-africaine a été volée.
D'après le Sunday Times, relayé par ZDNet, l'enquête interne menée par la banque suggère que des employés auraient volé la clé en décembre 2018. Ils l'auraient tout simplement imprimé depuis des data centers vieillissants de la banque.
Les malfaiteurs l'ont ensuite utilisée pour effectuer plus de 25 000 transactions frauduleuses entre mars et décembre 2019 sur les comptes des clients. La banque postale chiffre à 56 millions de rands (soit 2,8 millions d'euros) la perte causée par ces vols, et l'addition va s'alourdir. La clé maîtresse a servi à générer les cartes bancaires de 12 millions d'utilisateurs, que l'entreprise va devoir remplacer. Coût estimé de l'opération : 1 milliard de rands (52 millions d'euros).
La clé maîtresse devrait disposer des plus hauts standards de sécurité
Si la mésaventure de la banque postale sud-africaine est si rare, c'est parce que la clé maîtresse dispose en théorie d'un niveau de sécurité des plus élevés. Généralement, aucune personne n’a accès à l'entièreté de la clé. Son code est coupé, et plusieurs dirigeants de l'entreprise ont accès à différentes parties de la clé. Ils devront assembler leurs fragments pour la reconstituer.
Ensuite, ces fragments sont habituellement stockés sur des serveurs dédiés, situés dans une salle à part des data centers. Et pour accéder aux machines, il faut plusieurs badges, qui requièrent parfois la présence de plusieurs personnes pour être activés.
Pour finir : la clé est régulièrement changée, afin d'éviter tout risque, et le nouveau code est confié à d’autres personnes. Seulement, ces moyens de prévention sont à la discrétion de la banque, et rien n'indique que la banque postale sud-africaine les a respectés.