En cybersécurité, la sanctuarisation des cibles n'existe pas. Preuve en est avec une attaque informatique essuyée par la banque en ligne anglaise Revolut. L'établissement a ainsi confirmé à l'autorité de protection des données personnelles lituannienne (SDPI pour State Data Protection Inspectorate) une intrusion dans ses systèmes informatiques. Pourquoi cette instance ? Depuis le Brexit, le groupe devait - s'il voulait poursuivre ses activités en Europe - être en possession d'une licence bancaire obtenue dans un pays européen, ce qui est le cas depuis 2019 justement en Lituanie.

Ce piratage a permis à des attaquants d'accéder à des données personnelles de 50 150 clients dans le monde dont 20 687 en Europe. « Revolut a récemment subi une cyberattaque très ciblée. Cela a permis à un tiers non autorisé d'accéder aux détails d'un petit pourcentage (0,16 %) de nos clients pendant une courte période », a précisé un porte-parole de la société dans un échange avec Bleeping Computer.

Les fonds des clients toujours à l'abri

Parmi les informations concernées par ce hack, on trouve aussi bien des noms, des adresses, des e-mails que des numéros de téléphone ou encore des données de paiements bancaires, mais a priori pas de code PIN ni de numéros de cartes bancaires, ces dernières étant d'ailleurs déclarées comme « masquées » par la société. « Pour être clair, aucun fonds n'a été compromis ou volé. L'argent de nos clients est en sécurité - comme il l'a toujours été. Tous les clients peuvent continuer à utiliser leurs cartes et leurs comptes normalement », a expliqué le porte-parole.

Selon les premiers éléments de l'enquête, l'accès aux systèmes de Revolut a été rendu possible suite à des attaques par ingénierie sociale, sans doute des employés de la société. « L'équipe de sécurité de Revolut a pris des mesures rapides pour éliminer l'accès de l'attaquant malveillant aux données client de l'entreprise et arrêter l'incident », a indiqué l'établissement bancaire. Comme à l'accoutumée, méfiance donc à réception de futurs messages (mails, SMS...) potentiellement malveillants relatifs - ou pas d'ailleurs - de près ou de loin à l'établissement bancaire.