Cyberattaque contre JPMorgan Chase

La cyberattaque contre JPMorgan Chase est une cyberattaque contre la banque américaine JPMorgan Chase découverte en septembre 2014. Les informations personnelles de plus de 83 millions de clients et 7 millions d’entreprises sont dérobées. Cette attaque est considérée comme l'une des plus sérieuses violations de données de l'histoire des États-Unis^[1]^,^[2].

En juillet 2014, le New York Times révèle que Hold Security, une entreprise de sécurité américaine, a découvert une base de données contenant 500 millions d'emails^[3]. Ces informations récoltées sur 420 000 sites web par des pirates russes étaient utilisées pour du spam.

Le rapport de Hold Security mentionne le site web d'une course de charité, le "JPMorgan Corporate Challenge", organisée par la banque new yorkaise JPMorgan Chase. L'entreprise qui héberge ce site web, Simmco Data Systems, est également citée par le rapport. Les participants à la course devant s'authentifier sur le site du Corporate Challenge, JPMorgan Chase décide d'étudier les données mises au jour par Hold Security^[4].

Contactée par JPMorgan Chase, Simmco Data Systems confirme le piratage et fournit la liste d'adresses IP utilisées par les pirates. JPMorgan Chase décide d'auditer ses propres systèmes à la recherche de ces adresses IP. La banque découvre alors qu'elle a été victime d'un piratage massif et contacte le FBI.

Soupçons et arrestations

Le fait que les pirates aient préféré dérober des données personnelles plutôt que voler de l'argent intrigue les enquêteurs et les observateurs.

Le 27 août 2014, Bloomberg révèle l'attaque publiquement et soupçonne la Russie d'en être responsable^[5]^,^[6]^,^[7]. La sophistication du piratage fait penser à l'œuvre d'un État-nation. L'attaque survient quelques mois après la crise de Crimée, à la suite de laquelle les États-Unis avaient infligé de nombreuses sanctions économiques à la Russie^[8] contre lesquelles Vladimir Poutine avait promis des représailles^[9]. Le FBI confirme que la Russie est au centre de l'enquête sans pour autant tirer de conclusions définitives.

Le 21 juillet 2015, près d'un an après la découverte de l'attaque, la police israélienne procède à l'arrestation de deux citoyens israéliens à Tel Aviv : Gery Shalon et Ziv Orenstein^[10]. Ces arrestations interviennent à la suite d'une demande du FBI, qui interpelle simultanément Anthony Murgio et Yuri Lebedev en Floride^[11]. Un cinquième homme, Joshua Samuel Aaron est activement recherché^[12]. L'enquête révélant la responsabilité d'un groupe d'individus plutôt que celle d'un État, les soupçons concernant la Russie sont écartés.

Shalon et Orenstein sont extradés vers les États-Unis^[13]. Le FBI accuse Gery Shalon d'avoir commandité le piratage de JPMorgan Chase. Les cinq hommes n'ayant pas le profil de pirates informatiques, le FBI continue ses recherches.

Le 14 décembre 2016, Joshua Samuel Aaron, qui se cachait à Moscou, accepte de se rendre. Son visa russe ayant expiré, il avait été expulsé du pays après avoir été brièvement emprisonné. Après avoir découvert qu'il était recherché par le FBI, la Russie propose l'asile à Aaron^[14], celui-ci refuse. À la suite des négociations entre les avocats d'Aaron, la Russie et le FBI, Aaron embarque à bord d'un vol pour New York. Il est arrêté à l'aéroport John-F.-Kennedy^[15].

En décembre 2017, Andrei Tyurin, un citoyen russe est interpellé en République de Géorgie suite aux informations divulguées par les cinq suspects. Les autorités américaines ont profité d'un voyage hors de Russie pour faire arrêter Tyurin dans le but de l'extrader. Neuf mois plus tard, il s'envole pour New York où il est remis au FBI^[16].

Résultats de l'enquête

L'enquête qui fait suite au piratage de JPMorgan Chase met au jour un vaste réseau criminel ayant généré plusieurs milliards de dollars américains.

Manipulation boursière

Dès 2011, Shalon, Aaron et Orenstein mettent en place une technique de pump and dump via leur société "Webologic", fondée en Israël^[17]. Ils achetaient massivement des actions de petites entreprises, puis inondaient internet de faux articles et communiqués de presse ventant les mérites de leurs cibles. Cet engouement provoquait une augmentation du cours de l'action et leur permettait de réaliser des bénéfices en revendant tout. Une de leurs cibles, Southern Home Medical Equipment, a ainsi vu son action passer de 0,02 $ à 0,33 $ en 6 jours.

Cette opération nécessitait de falsifier de nombreux documents dans le but de légitimer les fausses informations qu'ils faisaient circuler.

Ils gagnent ainsi 460 000 $ lors de leur première année, en ayant ciblé 3 entreprises différentes.

En février 2012, Shalon et ses complices s'attaquent à Mustang Alliance, une société minière, faisant augmenter leur action de 65 % et empochant 2,2 millions de dollars^[18].

Webologic va même jusqu'à aider des entreprises à s'introduire en bourse afin de pouvoir manipuler leurs actions par la suite.

Shalon et ses complices louent les services du botnet Kelihos dans le but d'envoyer du spam^[19]. Les emails incitaient leurs destinataires à investir dans les entreprises visées par Shalon.

En 2014, Shalon missione Andrei Tyurin, un pirate russe en freelance, de voler les informations des clients de JPMorgan Chase. Cette liste de clients comprenant de nombreux investisseurs, Shalon espère ainsi pouvoir mieux cibler ses spams.

L'argent récolté par ces opérations est placé dans des comptes offshore à Chypre, en Géorgie, dans les Îles Vierges, au Luxembourg ou encore en Lettonie.

Faux casinos en ligne

L'enquête révèle que Shalon et Orenstein sont à la tête d'Affactive Group et RevenueJet^[20], des groupes de casinos virtuels réputés pour ne pas payer les gains des joueurs. Tyurin est régulièrement recruté pour pirater des blogs spécialisés dans les jeux d'argent, et vanter les mérites des casinos d'Affactive Group et RevenueJet^[21]. Tyurin est également chargé de pirater les casinos concurrents et de les mettre hors ligne, dans le but de faire migrer les joueurs vers les casinos de Shalon et Orenstein.

Ces casinos employaient 270 personnes en Ukraine et en Hongrie, et généraient 75 millions de dollars par mois^[22].

Plateformes de paiement frauduleuses

En 2011, Shalon crée IDPay et Todur^[23], des sociétés de paiement sur internet permettant de récolter l'argent de leurs casinos virtuels. Ces plateformes utilisent des comptes bancaires ouverts à travers le monde avec de faux papiers. Les opérations sont camouflées comme des simples achats en ligne.

IDPay et Todur sont également utilisés pour les paiements sur des sites de faux antivirus^[24].

Échange de Bitcoins illégal

Shalon et Murgio ont créé ensemble coin.mx, un échange de bitcoins illégal spécialisé dans le blanchiment d'argent^[25].

Médicaments contrefaits

Shalon possède plusieurs pharmacies en ligne vendant des médicaments contrefaits^[26].

v · m Hacking dans les années 2010
Incidents	Opération Titstorm (en) (2010) Opération Shady RAT (2006-2011) Operation Payback (2010) Piratage de DigiNotar (2011) Operation Tunisia (2011) Piratage du PlayStation Network (2011) Operation AntiSec (en) (2011-12) United States v. Swartz (en) (2010) Fuites de Stratfor par Wikileaks (en) (2012-13) Piratage LinkedIn (2012) Cyberattaque contre la Corée du Sud (2013) Piratage Snapchat (2014) Opération Tovar (en) (2014) Fuite des photos de personnalités d'août 2014 Cyberattaque contre JPMorgan Chase (2014) Piratage de Sony Pictures Entertainment (2014) Cyberattaque contre TV5 Monde (2015) Violation de données de l'OPM (2015) Cyber-braquage de la banque centrale du Bangladesh (2016) Cyberattaque WannaCry (2017) Cyberattaque Adylkuzz (2017) Cyberattaque NotPetya (2017)
Groupes	AnonGhost Anonymous (événements associés) Armée électronique syrienne Bureau 121 Dark Basin Derp Equation Group GNAA (simple) Goatse Security Hacking Team LulzRaft LulzSec NullCrew (en) OurMine RedHack TeaMp0isoN (en) Tailored Access Operations UGNazi Unité 61398 The Shadow Brokers
Hackers individuels	Donncha O'Cearbhaill Jeremy Hammond George Hotz Guccifer « Sabu » Hector Monsegur (en) Topiary (en) The Jester weev Jan Krissler (Starbug)
Vulnérabilités découvertes	Heartbleed (2014) Shellshock (2014) POODLE (2014) FREAK (2015) JASBUG (en) (2015) Stagefright (2015) DROWN (2016) Badlock (en) (2016) Dirty COW (2016) EternalBlue (2017) Meltdown (2018) Spectre (2018) ZombieLoad (2019) Kr00k (2019)
Logiciels malveillants	Babar Careto / The Mask (en) CryptoLocker Dexter Duqu FinFisher Flame Jigsaw Gameover ZeuS (en) Mahdi Metulji botnet (en) NSA ANT catalog (en) R2D2 (trojan) Regin Shamoon (en) Stars virus Stuxnet TeslaCrypt Petya Triton VPNFilter Wirelurker