La banque postale sud-africaine s'est fait dérober son information la plus critique : la clé maîtresse, qui permet de déchiffrer et de modifier toutes sortes d'opérations. À cause de cette faille de sécurité gravissime, elle va perdre plus de 55 millions d'euros.

Événement exceptionnel dans le monde bancaire : la clé maîtresse de la banque postale sud-africaine a été volée. Cette clé unique à chaque banque, qui prend la forme d’un code de 36 chiffres, est leur secret le mieux protégé. Et pour cause : elle permet de déchiffrer les opérations de la banque et peut donner accès aux codes des distributeurs bancaires et aux données clients. Elle sert aussi à générer les clés de chiffrement des cartes bancaires.

D’après le Sunday Times, relayé par ZDNet, l’enquête interne menée par la banque suggère que des employés auraient volé la clé en décembre 2018. Ils l’auraient tout simplement imprimé depuis des data centers vieillissants de la banque.

Soit la banque postale n’a pas respecté les normes de sécurités généralement appliquées, soit les voleurs étaient extrêmement bien organisés. // Source : PxHere

Les malfaiteurs l’ont ensuite utilisée pour effectuer plus de 25 000 transactions frauduleuses entre mars et décembre 2019 sur les comptes des clients. La banque postale chiffre à 56 millions de rands (soit 2,8 millions d’euros) la perte causée par ces vols, et l’addition va s’alourdir. La clé maîtresse a servi à générer les cartes bancaires de 12 millions d’utilisateurs, que l’entreprise va devoir remplacer. Coût estimé de l’opération : 1 milliard de rands (52 millions d’euros).

La clé maîtresse devrait disposer des plus hauts standards de sécurité

Si la mésaventure de la banque postale sud-africaine est si rare, c’est parce que la clé maîtresse dispose en théorie d’un niveau de sécurité des plus élevés. Généralement, aucune personne n’a accès à l’entièreté de la clé. Son code est coupé, et plusieurs dirigeants de l’entreprise ont accès à différentes parties de la clé. Ils devront assembler leurs fragments pour la reconstituer.

Ensuite, ces fragments sont habituellement stockés sur des serveurs dédiés, situés dans une salle à part des data centers. Et pour accéder aux machines, il faut plusieurs badges, qui requièrent parfois la présence de plusieurs personnes pour être activés.

Pour finir : la clé est régulièrement changée, afin d’éviter tout risque, et le nouveau code est confié à d’autres personnes. Seulement, ces moyens de prévention sont à la discrétion de la banque, et rien n’indique que la banque postale sud-africaine les a respectés.

Crédit photo de la une : Pxhere

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux