Target, une cible criblée de trous

Quelques jours après avoir découvert l’incident qui l’a frappé fin 2013, Target s’est associé les services des consultants en sécurité de Verizon pour lancer une enquête interne sur ses failles. Ces vulnérabilités sont détaillées dans un rapport interne qui a été obtenu et publié par Brian Krebs.

L’incident dont a été victime Target compte parmi les faits historiques de la sécurité informatique en raison du nombre de clients concernés : les données personnelles de 70 millions de clients et les données de 40 millions de cartes de crédit et de paiement se sont trouvées compromises.

Et si l’intrusion a commencé par la compromission d’un sous-traitant chargé de la climatisation, le rapport des experts de Verizon montre que virtuellement rien n’était là pour limiter les déplacements des attaquants une fois qu’ils avaient pris pied dans l’infrastructure.

Le document révèle en outre de nombreuses failles, dont l’utilisation de mots de passe peu robuste ou encore l’existence de mots de passe par défaut inchangés, le tout stocké dans un fichier répliqué sur plusieurs serveurs. Une fois entrée dans l’infrastructure de Target, les experts en intrusion de Verizon ont sans pu la parcourir avec des droits d’administrateur. En l’espace d’une semaine, ils sont parvenus à casser 86 % des 547 470 mots de passe de l’enseigne.

Il faut dire que de nombreux utilisateurs partageaient le même mot de passe. Ainsi, 4312 personnes utilisaient Jan3009#, contre 3 834 utilisateurs pour sto$res1, ou encore 3 762 pour train#5. Quant aux mots de passe différents les uns des autres, nombre d’entre eux affichaient d’importants points communs : 8 670 mots de passe contenaient ainsi le terme target, ou le mot summer pour 3 050 mots de passe, et train pour 3 840 d’entre eux. Des similitudes qui facilitent considérablement la découverte des mots de passe.

Les experts de Verizon ont par ailleurs relevé des systèmes fonctionnant avec serveur Web dépassé ou faisant l’impasse sur d’importants correctifs de sécurité. De quoi simplifier encore la compromission de l’ensemble de l’infrastructure.

Des procédures de remédiation ont été mises en œuvre en février 2014, peu avant que Target ne se lance dans une vaste réorganisation de sa sécurité. Ces efforts n’ont pas suffi à combler toutes les failles, mais le rapport assure que, plus tard, « des améliorations majeures » ont été apportées. L’enseigne a notamment déployé des systèmes et des processus devant lui permettre de détecter et de bloquer d’éventuelles menaces.

En mars 2014, BusinessWeek avait affirmé que Target avait déployé une solution de détection des intrusions signée FireEye quelque six mois avant l’intrusion dont il a été victime, pour un coût de 1,6 M$. Mais la chaîne de magasins aurait négligé les alertes remontées par cette solution.

Selon Brian Krebs, Target s’est refusé à indiquer si oui ou non le rapport qu’il a obtenu est authentique. Mais ce n’est pas première fois que la posture de sécurité de l’enseigne, lors de l’incident de fin 2013, est sévèrement critiquées. McAfee l’avait déjà accablée, qualifiant l’attaque en question de « extrêmement peu impressionnant[e] et peu remarquable ».

Au premier trimestre, Target a accepté de dédommager les victimes de son intrusion à hauteur de 10 M$. Le groupe va également accorder jusqu’à 67 M$ aux émetteurs de cartes Visa compromises dans l’incident. Il prévoit de proposer des conditions financières comparables aux émetteurs de cartes MasterCard. Ceux-ci avaient rejeté, en juin dernier, une offre bien plus basse, limitée à 19 M$.

Avec nos confrères de SearchSecurity.com (groupe TechTarget).