La banque postale sud-africaine s’est fait dérober son information la plus critique : la clé maîtresse, qui permet de déchiffrer et de modifier toutes sortes d’opérations. À cause de cette faille de sécurité gravissime, elle va perdre plus de 55 millions d’euros.

Événement exceptionnel dans le monde bancaire : la clé maîtresse de la banque postale sud-africaine a été volée. Cette clé unique à chaque banque, qui prend la forme d’un code de 36 chiffres, est leur secret le mieux protégé. Et pour cause : elle permet de déchiffrer les opérations de la banque et peut donner accès aux codes des distributeurs bancaires et aux données clients. Elle sert aussi à générer les clés de chiffrement des cartes bancaires.

D’après le Sunday Times, relayé par ZDNet, l’enquête interne menée par la banque suggère que des employés auraient volé la clé en décembre 2018. Ils l’auraient tout simplement imprimé depuis des data centers vieillissants de la banque.

thepiratebay.gif

Soit la banque postale n’a pas respecté les normes de sécurités généralement appliquées, soit les voleurs étaient extrêmement bien organisés. // Source : PxHere

Les malfaiteurs l’ont ensuite utilisée pour effectuer plus de 25 000 transactions frauduleuses entre mars et décembre 2019 sur les comptes des clients. La banque postale chiffre à 56 millions de rands (soit 2,8 millions d’euros) la perte causée par ces vols, et l’addition va s’alourdir. La clé maîtresse a servi à générer les cartes bancaires de 12 millions d’utilisateurs, que l’entreprise va devoir remplacer. Coût estimé de l’opération : 1 milliard de rands (52 millions d’euros).

La clé maîtresse devrait disposer des plus hauts standards de sécurité

Si la mésaventure de la banque postale sud-africaine est si rare, c’est parce que la clé maîtresse dispose en théorie d’un niveau de sécurité des plus élevés. Généralement, aucune personne n’a accès à l’entièreté de la clé. Son code est coupé, et plusieurs dirigeants de l’entreprise ont accès à différentes parties de la clé. Ils devront assembler leurs fragments pour la reconstituer.

Ensuite, ces fragments sont habituellement stockés sur des serveurs dédiés, situés dans une salle à part des data centers. Et pour accéder aux machines, il faut plusieurs badges, qui requièrent parfois la présence de plusieurs personnes pour être activés.

Pour finir : la clé est régulièrement changée, afin d’éviter tout risque, et le nouveau code est confié à d’autres personnes. Seulement, ces moyens de prévention sont à la discrétion de la banque, et rien n’indique que la banque postale sud-africaine les a respectés.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.