Archives par mot-clé : sécurité bancaire

Cybersécurité, Entreprise, Fuite de données, Justice

Intesa Sanpaolo sanctionnée pour faille interne

En Italie, un accès illicite aux données de 3 573 clients vaut à Intesa Sanpaolo une lourde sanction, révélatrice d’un angle mort critique dans la surveillance interne.

L’autorité italienne de protection des données a infligé à Intesa Sanpaolo SpA une amende de 36 millions $ (31,8 millions d’euros) après la découverte d’accès injustifiés aux informations bancaires de 3 573 clients entre février 2022 et avril 2024. Le régulateur évoque de graves insuffisances dans la sécurité des données personnelles, liées à des mesures techniques et organisationnelles inadaptées. L’affaire, déclenchée après une fuite de données signalée en juillet 2024, met en lumière un défaut de détection interne, des contrôles jugés trop faibles et une gestion contestée des notifications adressées aux personnes concernées. Plusieurs clients visés étaient en outre considérés comme sensibles ou à haut risque.

Une fuite interne qui expose les failles de contrôle

L’affaire frappe l’une des plus grandes institutions financières italiennes au cœur de sa fonction la plus sensible : la protection des données bancaires. Lundi, l’Autorité italienne de protection des données a annoncé une sanction de 36 millions $ (31,8 millions d’euros) contre Intesa Sanpaolo SpA. En cause, des consultations indues d’informations bancaires concernant plus de 3 500 clients, sur une période de plus de deux ans.

Le dossier a débuté avec une fuite de données rendue publique par la banque en juillet 2024. L’enquête ouverte dans la foulée a permis d’établir qu’un salarié avait accédé, sans motif légitime, aux données de 3 573 clients entre février 2022 et avril 2024. Ce seul calendrier suffit à montrer l’ampleur du problème : il ne s’agit pas d’un incident ponctuel, ni d’une erreur isolée détectée rapidement, mais d’un accès prolongé, répété, et resté invisible durant une période exceptionnellement longue.

Le régulateur décrit des « graves lacunes en matière de sécurité des données personnelles, dues à l’inadéquation des mesures techniques et organisationnelles adoptées ». La formule est lourde de sens. Elle vise à la fois l’architecture de sécurité, les procédures de contrôle, et la gouvernance qui encadre l’accès aux informations les plus sensibles. Dans le secteur bancaire, cet empilement de protections est censé empêcher qu’un employé puisse consulter librement des comptes sans alerte immédiate. Or, selon l’autorité, ce garde-fou n’a pas tenu.

Le communiqué du régulateur insiste sur un point déterminant pour toute analyse cyber : les accès non autorisés n’ont pas été repérés par les systèmes de contrôle interne. Autrement dit, le risque ne vient pas seulement de l’acte fautif d’un employé. Il découle aussi d’une incapacité structurelle à voir, qualifier et interrompre un comportement anormal. Dans une logique de sécurité, l’échec est donc double : la prévention n’a pas suffi, la détection non plus.

Le modèle opérationnel de la banque est lui aussi explicitement mis en cause. Selon l’autorité, les opérateurs pouvaient interroger de manière exhaustive l’ensemble de la clientèle, sans que ce pouvoir soit compensé par des mécanismes aptes à prévenir ou identifier les abus. Cette remarque dépasse le cas individuel. Elle révèle un problème de conception, où l’accessibilité interne aux données l’emporte sur le cloisonnement, alors même que ce type d’exposition crée un risque évident d’espionnage économique, de surveillance ciblée ou d’exploitation de renseignements sensibles.

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.

Service de veille ZATAZ
WhatsApp
Google News
Autres


S’abonner à la Newsletter

Des clients sensibles et une réponse jugée insuffisante

Le régulateur souligne un autre aspect particulièrement sensible : parmi les personnes concernées figuraient des clients considérés comme « à haut risque », dont des personnalités publiques bien connues. Ce détail change la portée du dossier. Lorsqu’une banque gère des profils exposés, la protection attendue ne relève plus seulement de la conformité de base. Elle touche à la prévention de scénarios plus critiques, où les données financières peuvent alimenter des pressions, des atteintes à la vie privée, des campagnes d’influence ou des opérations de ciblage.

L’autorité estime justement qu’Intesa Sanpaolo aurait dû appliquer à ces comptes des contrôles renforcés. Cette appréciation est centrale. Elle montre que le régulateur ne raisonne pas seulement en nombre de victimes, mais aussi en niveau de sensibilité des informations compromises. Dans une lecture renseignement, la valeur d’une donnée dépend du profil qu’elle concerne, du contexte dans lequel elle est consultée, et de l’usage potentiel qui peut en être fait. L’absence de vigilance supplémentaire pour des clients à risque alourdit donc mécaniquement la gravité du dossier.

L’enquête ne s’est pas arrêtée aux seuls accès illicites. D’autres irrégularités ont été constatées dans la manière dont la banque a géré l’incident après sa découverte. Selon le communiqué, les notifications adressées aux clients concernés étaient incomplètes et envoyées hors des délais prévus par la loi. Là encore, le sujet va au-delà d’un manquement procédural. Dans une crise de données, la qualité de l’information transmise aux victimes est un indicateur direct de maturité. Prévenir tard, ou prévenir partiellement, laisse les personnes exposées sans capacité immédiate d’évaluation ou de réaction.

Intesa Sanpaolo n’a pas souhaité commenter, son porte-parole ayant refusé toute déclaration. Le silence public de l’établissement ne modifie pas les éléments retenus par l’autorité, qui précise avoir calibré l’amende selon plusieurs critères : la gravité des faits, leur durée, le nombre de clients touchés et la manière dont le problème a été traité après sa découverte. Cette méthode de calcul ancre la sanction dans une logique cumulative, où chaque défaillance renforce l’autre.

Au total, cette affaire montre qu’en matière bancaire, la menace interne reste l’un des angles morts les plus dangereux lorsque les droits d’accès sont trop larges et les contrôles trop faibles.

Android, backdoor, Banque, Cybersécurité, Securite informatique, Smartphone

Les applications Android exploitent le NFC pour voler des données bancaires

Des centaines d’applications malveillantes utilisent la technologie NFC et l’émulation de carte hôte pour intercepter des paiements et dérober des identifiants financiers sur Android.

Les experts de Zimperium Labs alertent sur une hausse massive de la fraude par relais NFC depuis avril 2024. Plus de 760 applications Android exploitent la communication en champ proche (NFC) et l’émulation de carte hôte (HCE) pour intercepter des données EMV, usurper des institutions financières et relayer des transactions bancaires frauduleuses. Ces campagnes illustrent la sophistication croissante des attaques contre les paiements sans contact.

NE MANQUEZ PAS NOTRE NEWS LETTER (CHAQUE SAMEDI). INSCRIPTION

Des campagnes coordonnées de vol de données

Les chercheurs ont observé que ces applications ciblent des banques, services de paiement et portails gouvernementaux dans le monde entier, avec un accent particulier sur les institutions russes, européennes (PKO, ČSOB, NBS), brésiliennes et sur Google Pay. Elles se font passer pour des applications officielles, incitant les victimes à les définir comme gestionnaires de paiement NFC par défaut. Une fois installées, elles interceptent les échanges APDU entre le terminal et l’appareil, exfiltrant les données EMV, les numéros de carte et les dates d’expiration vers des chaînes Telegram contrôlées par les opérateurs.

Certaines variantes fonctionnent comme des couples d’outils : un « scanner/piéger » chargé d’intercepter les transactions et un collecteur autonome pour exfiltrer les informations. Ces applications communiquent avec un serveur de commande et de contrôle (C2) capable d’enregistrer les appareils, relayer les requêtes de terminal, vérifier l’état du bot, envoyer des mises à jour ou des alertes Telegram, et exécuter des transactions à distance. L’automatisation et la modularité rendent la détection complexe.

Une infrastructure mondiale de commande et de contrôle

Zimperium a identifié plus de 70 serveurs C2 et plusieurs dizaines de bots Telegram actifs dans cette campagne. Ces infrastructures pilotent à distance les applications infectées, enregistrant en continu les appareils compromis et adaptant les commandes selon la réponse du terminal. Les opérateurs peuvent ainsi simuler des paiements sans contact réels, sans nécessiter l’intervention directe de l’utilisateur.

Les échanges APDU, cœur du protocole de communication entre carte et lecteur, sont intégralement interceptés, analysés puis répliqués. Les fraudeurs peuvent rejouer des transactions à partir des données volées, utilisant les identifiants des appareils pour personnaliser les sessions et contourner les vérifications comportementales des banques.

Cette architecture distribuée repose sur des serveurs hébergés dans plusieurs juridictions, compliquant le démantèlement. Les flux de commandes dynamiques et l’enregistrement continu des terminaux rendent l’analyse forensique difficile et retardent les réponses de sécurité.

Une menace liée à l’essor du sans contact

Le rapport de Zimperium souligne que la croissance des paiements NFC a ouvert de nouvelles opportunités aux cybercriminels. « Avec la croissance rapide des transactions sans contact, la technologie NFC est devenue une cible de plus en plus prisée », indiquent les chercheurs. Android autorise les applications à gérer les paiements NFC via l’émulation de carte hôte, fonction que les pirates détournent pour capturer les données avant qu’elles ne soient chiffrées ou transmises au processeur de paiement.

L’exploitation de ces autorisations légitimes rend les attaques particulièrement efficaces. En usurpant l’identité d’applications de confiance et en exploitant des interfaces natives, les malwares évitent les alertes de sécurité traditionnelles. Les auteurs diffusent leurs applications via des magasins non officiels ou des liens directs dans des messages Telegram et des forums de piratage.

Les chercheurs estiment que ces attaques reposent sur une combinaison d’ingénierie sociale et d’abus de fonctions système. Elles ciblent principalement les utilisateurs de terminaux Android ne disposant pas de correctifs récents ou utilisant des versions fragmentées du système d’exploitation.

VEILLE ZATAZ : NOUS RECHERCHONS VOS DONNÉES PIRATÉES. DÉCOUVRIR

Une réponse encore limitée

Zimperium recommande aux institutions financières et aux utilisateurs de considérer comme à haut risque toute application demandant l’autorisation de paiement NFC sans justification claire. Les experts préconisent également une surveillance renforcée des flux APDU et des connexions sortantes vers Telegram et d’autres messageries chiffrées.

L’écosystème Android reste vulnérable à ce type d’abus structurel, car la gestion des autorisations NFC repose sur la confiance de l’utilisateur final. Tant que les systèmes de vérification d’identité des applications ne seront pas centralisés, les campagnes de fraude par relais devraient continuer à croître.

Cette multiplication d’applications malveillantes utilisant le NFC et le HCE illustre un basculement des menaces : les cybercriminels délaissent le phishing traditionnel pour des attaques logicielles sophistiquées ciblant l’infrastructure même des paiements mobiles.

L’exploitation frauduleuse du NFC par des centaines d’applications Android démontre la vulnérabilité des paiements mobiles face à la manipulation logicielle. La question centrale reste ouverte : les éditeurs et autorités financières parviendront-ils à sécuriser le protocole NFC avant qu’il ne devienne le principal vecteur de vol de données bancaires ?