Piratage Revolut : les données de 50 000 clients dérobées

La banque en ligne Revolut a été victime d'une cyberattaque, et les données personnelles de plus de 50 000 clients sont désormais dans la nature. La néobanque se veut néanmoins rassurante : les fonds bancaires sont en sécurité.

Assurément, les pirates sont rentrés de vacances. Et ils ne chôment pas en ce moment ! Après Uber, Samsung et La Poste Mobile, c'est au tour de la banque en ligne Revolut d'être victime d'une cyberattaque. La néobanque a révélé à Bleeping Computer avoir repéré, le dimanche 11 septembre, une intrusion "extrêmement ciblée" dans ses systèmes d'un tiers non autorisé, qui a alors pu accéder à certaines données de sa clientèle. Il faut dire qu'avec ses 20 millions de clients répartis aux quatre coins du globe, la banque en ligne britannique est une cible de choix pour les pirates. Le hacker a pu accéder aux adresses mail, noms, adresses postales et numéros de téléphone, ainsi qu'à des informations de comptes bancaires et à des "données limitées sur les cartes de paiement" de 0,16 % des clients. Cela correspond à exactement 50 150 adhérents – dont 20 687 dans l'espace économique européen – comme le révèle l'Inspection nationale de la protection des données en Lituanie – où Revolut dispose d'une licence bancaire. Les détails, ainsi que l'identité de son auteur, n'ont pas été dévoilés, si ce n'est que ce dernier a eu recours à l'ingénierie sociale pour parvenir à ses fins.

Revolut : un risque de phishing accru

La néobanque a tout de même voulu être rassurante, en affirmant que les numéros de carte bancaire, les codes personnels et les mots de passe d'accès aux comptes n'ont pas été compromis durant l'attaque. Les pirates n'ont également pas eu accès aux comptes bancaires. "L'argent de nos clients est en sécurité – comme il l'a toujours été. Tous les clients peuvent continuer à utiliser leurs cartes et leurs comptes normalement", insiste un porte-parole de Revolut auprès de Bleeping Computer. La firme précise sur Twitter que les clients concernés ont été directement contactés par e-mail – pas de panique pour ceux qui ne reçoivent rien donc. Elle en profite toutefois pour rappeler que les informations dérobées peuvent aider les escrocs à se faire passer pour la banque en ligne elle-même, afin de récupérer cette fois-ci les mots de passe ou les numéros de leur carte bancaire tant convoités – le fameux phishing. C'est pourquoi il est primordial de ne jamais communiquer d'informations personnelles par e-mail ou par téléphone. Revolut ne contactera personne au sujet de la cyberattaque, et tout SMS/mail/appel à ce propos est donc frauduleux. En cas du moindre doute, il faut appeler immédiatement le service client. Les cybercriminels cherchent à exploiter les émotions de leurs victimes pour leur extraire des informations, et cherchent à la pousser à agir sans réfléchir. C'est pourquoi il ne faut surtout pas céder à la précipitation et toujours vérifier.

Cet incident intervient à un bien mauvais moment pour Revolut, dont les comptes sont actuellement sous le feu des projecteurs. En effet, le cabinet BDO, qui s'occupe de l'audit de la banque en ligne – c'est-à-dire qu'il analyse sa comptabilité et sa gestion –, est accusé par le régulateur comptable britannique (FRC), qui juge que "l'approche globale de l'équipe d'audit en matière de comptabilisation des revenus était inadéquate et, par conséquent, que le risque d'anomalie significative non détectée atteignait un niveau inacceptable." Il se peut donc qu'il y ait des erreurs dans les chiffres communiqués, ce qui pourrait contraindre Revolut à publier ses résultats avec du retard. Une mauvaise publicité dont la banque en ligne se serait bien passée.