Everest revendique Frost Bank, Citizens Bank : 380 Go volés

Ce qui s'est passé

Le 20 avril 2026, le gang de rançongiciel Everest a mis en ligne sur son portail d'extorsion six nouvelles victimes simultanément, dont deux établissements bancaires américains de premier plan : Frost Bank, basé à San Antonio au Texas, et Citizens Bank, l'un des dix plus grands réseaux bancaires des États-Unis. Selon les éléments publiés par les attaquants et relayés par plusieurs plateformes de surveillance du dark web, l'archive exfiltrée dépasse 380 gigaoctets et couvre des millions d'enregistrements issus des systèmes de traitement des paiements, de la comptabilité générale et des dossiers clients. Le groupe a activé un compte à rebours classique : paiement ou publication intégrale des données. Les autres victimes annoncées dans la même vague sont Tokoparts, Complete Aircraft Group, Umiles Group et Nutrabio, ce qui laisse entendre qu'Everest a accumulé plusieurs intrusions avant une campagne d'extorsion coordonnée.

D'après les échantillons diffusés par les attaquants, les fichiers incluent plus de 250 000 numéros de sécurité sociale et identifiants fiscaux (TIN), environ 3,4 millions de dossiers de traitement bancaire avec noms complets, adresses et numéros de comptes, ainsi que des formulaires d'autorisation de cartes bancaires en clair — numéros complets, CVV, dates d'expiration, adresses de facturation. Des rapports financiers corporate, grands livres, budgets et déclarations fiscales figurent également dans l'archive, selon les descriptifs publiés par le groupe sur son leak site.

Pourquoi c'est important

La combinaison SSN plus détails de comptes plus cartes non chiffrées ouvre la voie à une fraude financière massive et à des campagnes d'usurpation d'identité à très long terme, car un SSN américain ne se révoque pas. Aux États-Unis, les banques concernées devront activer leurs procédures de notification sous 72 heures et proposer un monitoring de crédit aux clients affectés, en application des réglementations fédérales et étatiques — plusieurs attorneys general (New York, Californie, Massachusetts) ont durci leurs exigences en 2025. Pour l'écosystème européen, l'affaire illustre un mode opératoire courant d'Everest depuis sa réapparition mi-2025 : accumulation de brèches puis publication groupée pour maximiser la pression médiatique, tactique déjà observée contre plusieurs acteurs industriels en 2024. Voir aussi la campagne récente de ShinyHunters contre Zara, Carnival et 7-Eleven, qui utilise le même levier temporel.

Le stockage en clair de données de cartes bancaires constitue par ailleurs un écart majeur au standard PCI DSS 4.0, entré en application obligatoire en mars 2025. Les montants des amendes associées peuvent atteindre 100 000 dollars par mois de non-conformité par acquéreur Visa ou Mastercard, indépendamment des dommages-intérêts civils réclamés par les clients lésés via des class actions.

Ce qu'il faut retenir

• Six organisations publiées le même jour sur le leak site d'Everest : signe d'une campagne d'extorsion coordonnée et non d'intrusions opportunistes.
• Le volume et la nature des données (SSN, cartes en clair, grands livres) suggèrent des compromissions profondes et anciennes des SI bancaires, pas de simples vols de fichiers.
• Toute entreprise traitant des données PCI doit vérifier que les autorisations manuelles, formulaires scannés et exports CSV ne contiennent pas de PAN plus CVV stockés en dehors des environnements certifiés.