Citigroup n'a pas donné de détails sur la manière dont les pirates avaient pu s'introduire dans son site de services en ligne - Citi Account on Line - utilisé par les clients pour gérer leurs cartes. La banque américaine a simplement indiqué qu'elle avait découvert l'intrusion au début du mois dernier à la suite d'un «contrôle de routine. » L'information a été révélée pour la première fois dans le Financial Times ce jeudi.

Selon l'organisme bancaire, d'autres renseignements concernant les clients, comme leur numéro de sécurité sociale, leur date de naissance, la date d'expiration de leur carte et le code de sécurité à trois chiffres figurant au dos de leur carte, n'ont pas été subtilisés. « Citi a renforcé ses procédures afin que ce type d'incident ne se reproduise pas, » a déclaré Sean Kevelighan, responsable de la communication de la division North America Consumer Banking dans un communiqué. « Pour protéger la sécurité des clients, nous ne pas donnerons aucun détail sur les modalités de l'attaque, » a-t-il confirmé, indiquant par ailleurs que les clients concernés avaient été directement informés par la banque.

Toujours pas d'information à destination des clients

Pourtant, jeudi matin, la page d'accueil du site Citi Account on Line n'affichait aucune notification concernant le piratage. Selon le Financial Times, plusieurs détenteurs de cartes ont découvert le problème au cours du week-end dernier, quand les transactions qu'ils ont tentées d'effectuer ont été refusées, ce qui soulève des interrogations quant aux procédures de notification de Citigroup.

Même si les pirates n'ont pas pu avoir accès à la totalité des données relatives aux détenteurs de cartes, les éléments de contact sont suffisants pour que les fraudeurs tentent de les utiliser, y compris pour mener des attaques ciblées afin d'extirper davantage d'informations. Ils pourraient par exemple utiliser les adresses mail pour mener une campagne de phishing, et obtenir suffisamment d'informations sensibles pour leur permettre d'usurper l'identité des victimes et commettre des fraudes. Le phishing peut également être réalisé par téléphone, l'appelant se faisant passer pour le représentant légitime de l'institution financière et inciter le client à livrer d'autres informations personnelles.

Crédit photo : D.R.