TJX : vos données ont fuité et bien payez maintenant

Victime d'un vaste vol de données, le groupe américain TJX a accepté de payer 9,75 millions de dollars pour mettre fin aux poursuites dont il était l'objet, poursuites émanant des avocats généraux de 41 états américains.

Victime d'un vaste vol de données, le groupe américain TJX a accepté de payer 9,75 millions de dollars pour mettre fin aux poursuites dont il était l'objet, poursuites émanant des avocats généraux de 41 états américains. Rappelons qu'en janvier 2007, le groupe de distribution avait reconnu que ses systèmes avait été hackés, conduisant au vol de près de 46 millions de numéros de cartes de crédit ou de débit.

La firme paiera 2,5 millions de dollars pour créer un fonds spécialisé dans la sécurité des données, 5,5 millions supplémentaires pour mettre fin aux poursuites et 1,75 million pour couvrir les frais des enquêtes lancées dans 41 états américains. En sus, TJX s'engage à respecter les consignes des états en matière de sécurité de ses systèmes.

Selon les éléments de l'enquête, pour collecter les données, les pirates ont exploité une faille dans le réseau Wi-Fi de TJX. Ce dernier était protégé par le protocole de cryptage WEP (Wired Equivalent Privacy), notoirement insuffisant en matière de sécurité. Rappelons que ce dernier est supplanté par un protocole plus robuste (WPA).

Ces 9,75 millions s'ajoutent aux 40,9 millions déjà déboursés fin 2007 par TJX pour mettre fin aux poursuites intentées cette fois par les banques suite à la révélation de l'affaire. Le distributeur a également réglé à l'amiable divers procès en nom collectif (class-action) qui l'opposaient à des consommateurs. Au final, la facture pour le distributeur est donc salée.

Rappelons que onze personnes ont été arrêtées à l'été 2008 pour le détournement des données de TJX et d'autres chaînes de distribution, comme BJ's Wholesale Club et DSW Shoe Warehouse.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close