Tesco, l’organisme bancaire en ligne, filiale de la chaîne de supermarchés britanniques Tesco U.K, a suspendu les paiements en ligne des comptes courants de ses 136 000 clients, après avoir remarqué une série de transactions frauduleuses. « Nous avons détecté 40 000 transactions suspectes, c’est pourquoi nous avons suspendu le service de paiement de tous les comptes courants de nos clients », a déclaré lundi à BBC Radio 4, le CEO de la banque, Benny Higgins. Ajoutant que « de l’argent avait été prélevé sur près de la moitié d'entre eux ». « La banque supportera les pertes liées à cette action frauduleuse, mais celle-ci n’a pas exposé les clients à un risque financier », a-t-il encore précisé. Tesco a indiqué que 2,5 M£ avaient été volé à 9 000 clients, a rapporté Reuters

Cependant, l’usage des comptes risque d’être perturbé jusqu'à la sécurisation complète des systèmes. « Les transactions en ligne seront à nouveau possibles quand nous aurons retrouvé un contrôle total de nos systèmes », a encore déclaré le CEO de Tesco Bank. Mais « les clients pourront toujours utiliser le service bancaire en ligne et effectuer normalement leurs achats par carte dans les magasins ». Les clients ont été avertis par un message d’alerte envoyé dimanche par texto les invitant à appeler la banque en ligne pour avoir plus d'informations sur l’incident. Mais, le centre d'appels mis en place par la banque a été rapidement débordé et de nombreux clients ont signalé que leurs appels étaient restés sans réponse.

Intrusion dans le système bancaire ou infection des PC ?

La National Crime Agency britannique, qui abrite l’autorité nationale de lutte contre la cybercriminalité, a déclaré qu'elle coordonnait l’action de police judiciaire de ce qu'elle a appelé une « violation des données de la Banque Tesco ». « Le Bureau du Commissaire à l'information, l'autorité britannique garante de la protection des données, a été informé de l'incident et a diligenté une enquête », a déclaré un de ses représentants. La cause de l'incident n'est pas très claire. Dans un communiqué, Tesco Bank parle « d’activité criminelle en ligne » et « de fraude », mais n’emploie pas le terme de « piratage » quand il fait état des fonds manquants. 

La banque utilise le standard 3D Secure, également connu sous le nom de Verified by Visa ou MasterCard SecureCode, pour authentifier les paiements en ligne. La procédure impose aux clients de donner un autre mot de passe que leur code PIN à quatre chiffres ou que le CVV (Cardholder Verification Value) à trois chiffres figurant au verso de leurs cartes pour finaliser leurs paiements en ligne. « Ces vols on peut-être été possible après une intrusion dans le système bancaire en ligne de Tesco Bank ou après une infection des PC ou des dispositifs mobiles des clients de la banque par un malware disséminé grâce à des attaques de hameçonnage ciblées ou un détournement de données depuis les réseaux sociaux », a laissé entendre Ilia Kolochenko, CEO de l’entreprise de sécurité internet High-Tech Bridge. « On ne peut pas exclure non plus une campagne d'écrémage massive », a-t-il ajouté par courriel. Cela voudrait dire que les criminels ont peut-être réussi à voler les données bancaires des clients et leurs codes à partir de distributeurs automatiques de billets (DAB) ou de terminaux de paiement compromis.