Cyberattaque contre JPMorgan Chase

La cyberattaque contre JPMorgan Chase est une cyberattaque contre la banque américaine JPMorgan Chase découverte en septembre 2014. Les informations personnelles de plus de 83 millions de clients et 7 millions d’entreprises sont dérobées. Cette attaque est considérée comme l'une des plus sérieuses violations de données de l'histoire des États-Unis[1],[2].

Siège social de JPMorgan Chase à New York

Découverte de l'attaque modifier

En juillet 2014, le New York Times révèle que Hold Security, une entreprise de sécurité américaine, a découvert une base de données contenant 500 millions d'emails[3]. Ces informations récoltées sur 420 000 sites web par des pirates russes étaient utilisées pour du spam.

Le rapport de Hold Security mentionne le site web d'une course de charité, le "JPMorgan Corporate Challenge", organisée par la banque new yorkaise JPMorgan Chase. L'entreprise qui héberge ce site web, Simmco Data Systems, est également citée par le rapport. Les participants à la course devant s'authentifier sur le site du Corporate Challenge, JPMorgan Chase décide d'étudier les données mises au jour par Hold Security[4].

Contactée par JPMorgan Chase, Simmco Data Systems confirme le piratage et fournit la liste d'adresses IP utilisées par les pirates. JPMorgan Chase décide d'auditer ses propres systèmes à la recherche de ces adresses IP. La banque découvre alors qu'elle a été victime d'un piratage massif et contacte le FBI.

Soupçons et arrestations modifier

Le fait que les pirates aient préféré dérober des données personnelles plutôt que voler de l'argent intrigue les enquêteurs et les observateurs.

Le 27 août 2014, Bloomberg révèle l'attaque publiquement et soupçonne la Russie d'en être responsable[5],[6],[7]. La sophistication du piratage fait penser à l'œuvre d'un État-nation. L'attaque survient quelques mois après la crise de Crimée, à la suite de laquelle les États-Unis avaient infligé de nombreuses sanctions économiques à la Russie[8] contre lesquelles Vladimir Poutine avait promis des représailles[9]. Le FBI confirme que la Russie est au centre de l'enquête sans pour autant tirer de conclusions définitives.

Le 21 juillet 2015, près d'un an après la découverte de l'attaque, la police israélienne procède à l'arrestation de deux citoyens israéliens à Tel Aviv : Gery Shalon et Ziv Orenstein[10]. Ces arrestations interviennent à la suite d'une demande du FBI, qui interpelle simultanément Anthony Murgio et Yuri Lebedev en Floride[11]. Un cinquième homme, Joshua Samuel Aaron est activement recherché[12]. L'enquête révélant la responsabilité d'un groupe d'individus plutôt que celle d'un état, les soupçons concernant la Russie sont écartés.

Shalon et Orenstein sont extradés vers les États-Unis[13]. Le FBI accuse Gery Shalon d'avoir commandité le piratage de JPMorgan Chase. Les cinq hommes n'ayant pas le profil de pirates informatiques, le FBI continue ses recherches.

Le 14 décembre 2016, Joshua Samuel Aaron, qui se cachait à Moscou, accepte de se rendre. Son visa russe ayant expiré, il avait été expulsé du pays après avoir été brièvement emprisonné. Après avoir découvert qu'il était recherché par le FBI, la Russie propose l'asile à Aaron[14], celui-ci refuse. À la suite des négociations entre les avocats d'Aaron, la Russie et le FBI, Aaron embarque à bord d'un vol pour New York. Il est arrêté à l'aéroport John-F.-Kennedy[15].

En décembre 2017, Andrei Tyurin, un citoyen russe est interpellé en République de Géorgie suites aux informations divulguées par les cinq suspects. Les autorités américaines ont profité d'un voyage hors de Russie pour faire arrêter Tyurin dans le but de l'extrader. Neuf mois plus tard, il s'envole pour New York où il est remis au FBI[16].

Résultats de l'enquête modifier

L'enquête qui fait suite au piratage de JPMorgan Chase met au jour un vaste réseau criminel ayant généré plusieurs milliards de dollars américains.

Manipulation boursière modifier

Dès 2011, Shalon, Aaron et Orenstein mettent en place une technique de pump and dump via leur société "Webologic", fondée en Israël[17]. Ils achetaient massivement des actions de petites entreprises, puis inondaient internet de faux articles et communiqués de presse ventant les mérites de leurs cibles. Cet engouement provoquait une augmentation du cours de l'action et leur permettait de réaliser des bénéfices en revendant tout. Une de leurs cibles, Southern Home Medical Equipment, a ainsi vu son action passer de 0,02 $ à 0,33 $ en 6 jours.

Cette opération nécessitait de falsifier de nombreux documents dans le but de légitimer les fausses informations qu'ils faisaient circuler.

Ils gagnent ainsi 460 000 $ lors de leur première année, en ayant ciblé 3 entreprises différentes.

En février 2012, Shalon et ses complices s'attaquent à Mustang Alliance, une société minière, faisant augmenter leur action de 65 % et empochant 2,2 millions de dollars[18].

Webologic va même jusqu'à aider des entreprises à s'introduire en bourse afin de pouvoir manipuler leurs actions par la suite.

Shalon et ses complices louent les services du botnet Kelihos dans le but d'envoyer du spam[19]. Les emails incitaient leurs destinataires à investir dans les entreprises visées par Shalon.

En 2014, Shalon missione Andrei Tyurin, un pirate russe en freelance, de voler les informations des clients de JPMorgan Chase. Cette liste de clients comprenant de nombreux investisseurs, Shalon espère ainsi pouvoir mieux cibler ses spams.

L'argent récolté par ces opérations est placé dans des comptes offshore à Chypre, en Géorgie, dans les Îles Vierges, au Luxembourg ou encore en Lettonie.

Faux casinos en ligne modifier

L'enquête révèle que Shalon et Orenstein sont à la tête d'Affactive Group et RevenueJet[20], des groupes de casinos virtuels réputés pour ne pas payer les gains des joueurs. Tyurin est régulièrement recruté pour pirater des blogs spécialisés dans les jeux d'argent, et vanter les mérites des casinos d'Affactive Group et RevenueJet[21]. Tyurin est également chargé de pirater les casinos concurrents et de les mettre hors ligne, dans le but de faire migrer les joueurs vers les casinos de Shalon et Orenstein.

Ces casinos employaient 270 personnes en Ukraine et en Hongrie, et généraient 75 millions de dollars par mois[22].

Plateformes de paiement frauduleuses modifier

En 2011, Shalon crée IDPay et Todur[23], des sociétés de paiement sur internet permettant de récolter l'argent de leurs casinos virtuels. Ces plateformes utilisent des comptes bancaires ouverts à travers le monde avec de faux papiers. Les opérations sont camouflées comme des simples achats en ligne.

IDPay et Todur sont également utilisés pour les paiements sur des sites de faux antivirus[24].

Échange de Bitcoins illégal modifier

Shalon et Murgio ont créé ensemble coin.mx, un échange de bitcoins illégal spécialisé dans le blanchiment d'argent[25].

Médicaments contrefaits modifier

Shalon possède plusieurs pharmacies en ligne vendant des médicaments contrefaits[26].

Condamnations modifier

Le 22 mai 2017, les poursuites à l'encontre de Gery Shalon sont abandonnées en échange d'informations[27] et du paiement d'une somme de 403 millions de dollars américains. Shalon est libéré[28].

Le 27 juin 2017, Anthony Murgio plaide coupable de fraude bancaire et fraude électronique, il est condamné à 5 ans d’emprisonnement[29].

Le 20 octobre 2017, Yuri Lebedev est condamné à 16 mois de prison[30].

Le 7 janvier 2021, Andrei Tyurin plaide coupable aux chefs d'accusation de piratage, fraude électronique, jeux d'argents illégaux, fraude bancaire et conspiration[31]. L'enquête révèle 3500 pages de discussion entre lui et Shalon, au sujet de ses piratages. Il est condamné à 12 ans de prison[32]. Ses activités de hacker indépendant pour Shalon et Orenstein lui ont rapporté au moins 19 millions de dollars.

À ce jour, aucune décision publique n'a été rendue concernant Ziv Orenstein et Joshua Samuel Aaron.

Notes et références modifier

  1. (en) « JP Morgan Chase reveals massive data breach affecting 76m households » (consulté le )
  2. (en) « Hackers’ Attack Cracked 10 Financial Firms in Major Assault » (consulté le )
  3. (en) « Russian Hackers Amass Over a Billion Internet Passwords » (consulté le )
  4. (en) « Luck Played Role in Discovery of Data Breach at JPMorgan Affecting Millions » (consulté le )
  5. (en) « FBI Said to Examine Whether Russia Tied to JPMorgan Hacking » (consulté le )
  6. (en) « JPMorgan, other banks hacked, and FBI looks to Russia for culprits » (consulté le )
  7. (en) « Obama Had Security Fears on JPMorgan Data Breach » (consulté le )
  8. (en) « U.S., EU Escalate Russia Sanctions as Putin Holds Firm » (consulté le )
  9. (en) « Putin orders retaliation against U.S., Europe » (consulté le )
  10. (en) « Two Israelis and an American busted in largest-ever heist of customers’ bank data » (consulté le )
  11. (en) « Manhattan U.S. Attorney Announces Charges Against Two Florida Men for Operating an Underground Bitcoin Exchange » (consulté le )
  12. (en) « Maryland Frat Bro Now Among FBI’s Most Wanted » (consulté le )
  13. (en) « Manhattan U.S. Attorney Announces Extradition Of Defendants Linked To Massive Network Intrusions At U.S. Financial Institutions, U.S. Brokerage Firms, A Major News Publication, And Other Companies In Furtherance Of Securities Fraud Scheme And Other Crimes » (consulté le )
  14. (en) « Accused bank hacker claims Russia offered him asylum » (consulté le )
  15. (en) « Man held at JFK airport over largest US financial cyber-hacking » (consulté le )
  16. (en) « Mystery JPMorgan Hacker Is in U.S. Hands. What Does He Know? » (consulté le )
  17. (en) « US investigation of pump-and-dump stock scheme takes down online gambling sites » (consulté le )
  18. (en) « SEC Charges Three For Six Microcap Fraud Manipulations » (consulté le )
  19. (en) « Tony Soprano of Cybercrime Snitches on Russian Hacker » (consulté le )
  20. (en) « Affactive and Revenue Jet Close Down Casino Operations » (consulté le )
  21. (en) « UNITED STATES OF AMERICA v. ANDREI TYURIN » [PDF] (consulté le )
  22. (en) « What Ever Happened to the Revenue Jet Owners’ Legal Case? » (consulté le )
  23. (en) « U.S. charges three in huge cyberfraud targeting JPMorgan, others » (consulté le )
  24. (en) « JPMorgan Hackers Breached Anti-Fraud Vendor G2 Web Services » (consulté le )
  25. (en) « Report: Spammers Tied To JPMorgan Chase Hack » (consulté le )
  26. (en) « Attorney General and Manhattan U.S. Attorney Announce Charges Stemming from Massive Network Intrusions at U.S. Financial Institutions, U.S. Brokerage Firms, Major News Publications and Other Companies » (consulté le )
  27. (en) « JPMorgan Hack Suspect Is Helping the U.S. Here's What He May Offer » (consulté le )
  28. (en) « Gery Shalon leaves prison after agreeing plea deal » (consulté le )
  29. (en) « Operator Of Unlawful Bitcoin Exchange Sentenced To More Than 5 Years In Prison For Leading Multimillion-Dollar Money Laundering And Fraud Scheme » (consulté le )
  30. (en) « Florida programmer sentenced to 16 months for bitcoin exchange scheme » (consulté le )
  31. (en) « Sentencing Of Russian National Tyurin Accused Of Hacking In US Rescheduled For May 19 » (consulté le )
  32. (en) « Russian in Massive JPMorgan Data Hack Sentenced to 12 Years » (consulté le )