Le feuilleton de la fuite d’informations sur les clients de Banco Inter n’est pas encore terminé. L’affaire, qui est instruite par le ministère public, a gagné un nouveau chapitre après la révocation d’un certificat numérique de l’institution financière. La raison alléguée est la compromission de la clé de cryptage privée, qui soulève davantage de questions sur les pratiques de sécurité de la banque.
Le même jour, Banco Inter a déclaré qu'”il n’y a pas eu d’invasion ni de compromission des systèmes de sécurité”. Dans une déclaration au marché, elle a déclaré que la nouvelle de la fuite était “fausse, avec un contenu technique douteux et imprécis, publiée dans le seul but de nuire à la réputation de la banque”. Il a également déclaré que la divulgation de “fausses nouvelles ou de faits réels tronqués ou déformés” concernant une institution financière était un crime.
Mais le chercheur en sécurité Thiago Ayub a partagé sur Twitter le 9 mai un test qui a montré un échange de messages cryptés avec la clé privée de Banco Inter, comme l’a rapporté Exame. Cette clé est secrète, elle n’aurait donc pas dû être exposée à des personnes extérieures à la banque. Le 11 mai, le certificat a été révoqué pour le motif “keyCompromise”, indiquant que la clé était compromise.
Le chercheur a proposé la création d’un système permettant aux clients de vérifier si leurs informations se trouvaient dans la fuite. Cependant, le projet n’a jamais été lancé : après avoir demandé une déclaration à la banque, Ayub a déclaré qu’il avait été censuré, sans préciser qui l’aurait fait.
Le G1 a confirmé l’authenticité de l’un des certificats révoqués, émis par GoDaddy, qui était utilisé par Banco Inter depuis le 14 octobre 2017. Bien qu’il ait été valable jusqu’au 18 août 2019, le certificat a été révoqué le 11 mai 2018. Actuellement, le site web de Banco Inter adopte un certificat différent, délivré le 29 avril 2018 par DigiCert.
Avec une clé privée, une personne malveillante pourrait créer une réplique fidèle du site web d’Inter Bank, en utilisant un certificat légitime de l’institution elle-même, faisant ainsi place aux attaques de phishing. La révocation du certificat avec la clé compromise permet d’éviter que cela ne se reproduise à l’avenir, mais peut servir de preuve importante pour l’enquête sur une éventuelle fuite de données du client.
Officiellement, l’Inter Bank dit à Exame qu’elle a été “victime d’une action criminelle” et continue à affirmer qu’il n’y a eu aucun “compromis de sécurité dans l’environnement extérieur et aucun dommage à sa structure technologique”. PerlmOl a demandé à la banque d’obtenir une position sur la fuite de la clé de cryptage privée, mais la société n’avait pas répondu jusqu’à la dernière mise à jour de ce texte.
