L’incident n’est pas récent et aurait peut-être pu rester secret si Brian Krebs, ancien journaliste du Washington Post spécialiste de la sécurité informatique, n’avait pas lancé l’alerte sur son blog. Ce vendredi 30 mars, il révélait ainsi que «dans des alertes non publiques émises en fin de semaine dernière, Visa et MasterCard ont informé les banques que certaines cartes précises pourraient avoir été compromises entre le 21 janvier 2012 et le 25 février 2012 ». Les données capturées sont suffisamment sensibles pour permettre la contrefaçon des cartes concernées. C’est le Wall Street Journal qui a ensuite donné le nom de Global Payments, une entreprise spécialisée dans le traitement des transactions par carte bancaire pour les détaillants, en partenariat avec les grands réseaux tels que Visa et MasterCard.
Informer et rassurer
Global Payments a reconnu l’intrusion dans son système d’information. Dans un communiqué, l’entreprise indique que seules les transactions relatives à l’Amérique du Nord sont concernées, avec «moins de 1 500 000 cartes» compromises. Selon Global Payments, «l’enquête a révélé, à ce stade, que les données de la piste 2 peuvent avoir été volées mais que les criminels n’ont pas obtenu les noms des porteurs, leurs adresses, et leurs numéros de sécurité sociale ». Et d’estimer que l’incident est désormais «circonscrit ». Le Pdg de l’entreprise, Paul Garcia, assure réaliser de «rapides progrès pour mettre un terme à ce problème ». De leur côté, Visa et MasterCard, qui figurent parmi les clients de Global Payments, ont informé les banques partenaires, tout en précisant que leurs propres réseaux informatiques n’avaient pas été compromis. Mais Visa a tout de même décidé de mettre un terme à ses relations avec Global Payments, au moins temporairement, le temps que son partenaire révise la sécurisation de son système d’information.
Une sécurité défaillante
De fait, selon l’analyste de Gartner Avivah Litan, un gang d’Amérique Centrale serait à l’origine de l’incident. Avec toutes les réserves d’usage, elle indique qu’on lui a soufflé que les criminels se sont «introduits dans le système de l’entreprise en répondant correctement aux questions du système d’authentification basé sur le savoir», réussissant ainsi à prendre le contrôle d’un compte doté de privilèges d’administration. Si c’était confirmé, on pourrait y voir une erreur grossière de configuration, semble-t-elle vouloir dire, soulignant que «l’on peut attendre des auditeurs PCI qu’ils disent non à des comptes administrateurs [protégés par ce type d’authentification] ».
Surtout, selon Avivah Litan, des «personnes dans l’industrie des cartes commencent à voir des signes des conséquences de l’incident. Il semble que les pirates ont commencé à utiliser récemment les données volées ». Selon ses sources, l’incident impliquerait «un taxi et une entreprise de parking dans la région de New York City ». Et d’encourager les personnes ayant réglé un stationnement ou une course de taxi dans la région durant la période concernée à vérifier leurs relevés de comptes cartes…
PCI, insuffisant ?
Mais pour l’analyste, le plus important n’est peut-être pas tant l’incident que ce qu’il révèle quant à la sécurité des données des cartes bancaires. Elle relève que Global Payments était respectueux des standards de sécurité de l’industrie au moment de l’incident. Mais alors qu’il ne l’est plus, «il continue de traiter des transactions ». Alors voilà, tampon ou pas, ce n’est pas la question : «réussir un audit de conformité PCI ne veut pas dire que vos systèmes sont sûrs. Concentrez-vous sur la sécurité, pas sur la réussite de l’audit.»
En complément :
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
L'ennui c'est que justement l'audit est le seul critère de sécurité envisageable. Le risque zéro (sécurité = risque zéro) étant impossible on ne peut qu'évaluer un niveau de risque donc une "sécurité relative".
Quel qu'en soit le niveau de précision, l'évaluation permet de savoir si oui ou non on respecte une "norme" qui de façon binaire est utilisé ensuite par des systèmes automatisés comme une certitude absolue, chaque utilisation de cette certitude venant, comme le calcul d'erreur le démontre, augmenter l'incertitude finale. Plus le traitement qui s'ensuit repose sur ce genre de certitudes plus le résultat est aléatoire.
Seul le doute est exact, la est la faille incontournable, la limite infranchissable de la rationalité.