Dans un communiqué publié sur Pastebin, des pirates affirment qu'ils ont réussi à s'introduire dans les systèmes informatiques de la banque de crédit belge Elantis et menacent de publier des informations confidentielles sur ses clients si celle-ci ne leur paie pas une rançon, avec un ultimatum fixé au vendredi 4 mai. Hier, Elantis a confirmé cette intrusion et le vol de données, mais la banque a fait savoir qu'elle ne céderait pas aux menaces et ne verserait pas la rançon demandée.

Les pirates disent qu'ils ont récupéré les informations de connexion et les tableaux des demandes de prêt en ligne, sur lesquels figurent des données confidentielles comme les noms complets, les professions des demandeurs, leurs coordonnées, leurs numéros de cartes d'identité et le montant de leurs revenus. Les pirates exigent le paiement de « l'équivalent de 150 000 euros environ », pour éviter à Elantis la publication de renseignements confidentiels sur ses clients, comme le précise leur communiqué publié mardi sur Pastebin. Selon les pirates, ces données ont été stockées sans protection et étaient lisibles en clair sur les serveurs. Pour prouver le hack, ceux-ci ont publié des extraits des données qu'ils prétendent avoir subtilisées. « Même si la demande peut-être qualifiée de 'chantage', nous préférons l'appeler 'impôt imbécile', car la banque a laissé des données confidentielles non protégées sur son serveur Web », se justifient les hackers.

Le site Elantis mis hors ligne

« Les pirates ont contacté la banque par mail vendredi dernier », a déclaré Moniek Delvou, porte-parole de la Banque Belfius (anciennement connue sous le nom de Dexia), et société mère d'Elantis. « Nous supposons qu'ils ont éventuellement pu s'emparer de données de 3 700 clients », a indiqué la porte-parole, ajoutant que les données compromises pourraient concerner des clients existants et des clients potentiels. « Les clients d'Elantis ont été informés de cette violation », a par ailleurs déclaré Moniek Delvou.

Après la découverte du piratage, le site Elantis a été mis hors ligne et la banque a pris contact avec la police judiciaire fédérale belge chargée de la cybercriminalité (Federal Computer Crime Unit), qui enquête sur l'affaire, a déclaré la porte-parole de la Banque Belfius. « Un agence américaine spécialisée dans la sécurité mène également une enquête », a t-elle ajouté sans révéler son nom. « Nous ne sommes pas disposés à payer cette rançon », a déclaré Moniek Delvou. « Nous n'aimons pas le chantage ».

Les pirates n'ont pas précisé les modalités du paiement des 150 000 euros. « Depuis l'envoi de l'e-mail, vendredi dernier, il n'y a pas eu de contact entre les pirates et la banque », a indiqué la porte-parole, en ajoutant qu'Elantis prévoyait de remettre son site en ligne dès que les questions de sécurité seraient réglées. La Federal Computer Crime Unit n'a pas fait de commentaires sur l'enquête en cours et les pirates n'ont pas pu être contactés.