Plusieurs immenses brèches de sécurité aux États-Unis ont provoqué le vol de dizaines de millions de numéros de cartes bancaires. La chaine de magasins Target a été la première visée mais n’est désormais plus la seule depuis que les boutiques Neiman Marcus sont désormais de la partie. Il pourrait s’agir dans les deux cas de la même méthode, mais le lien reste encore à démontrer.
Crédits : Cheon Fong Liew, licence Creative Commons
40 millions de cartes bancaires piratées dans un premier temps
La chaine de magasins Target est victime d’une immense fuite de données après le piratage plus que réussi de l’une de ses bases. Tout a commencé quelque part entre le 27 novembre et le 15 décembre, dans une période qui inclut aussi bien le fameux Black Friday que le Cyber Monday. Une alerte avait été publiée par Krebs on Security pour indiquer qu’une immense opération de vol de données sensibles contre Target avait été couronnée de succès, une information qui avait été confirmée par l’entreprise quelques jours plus tard.
Dans cette première communication officielle de Target, datée du 20 décembre, la société y indique que des informations personnelles ont été volées mais ne donne guère d’éléments. La situation est en fait relativement grave : 40 millions de numéros de cartes de crédits ou de paiement ont été dérobés, accompagnés de leurs dates d’expiration et des trois derniers chiffres au dos de la carte (code CCV). Target a beau tenter d’adoucir la situation et préciser que rien n’indique que les codes PIN ont été volés, les évènements vont lui donner tort.
70 millions de personnes supplémentaires
Une semaine plus tard, la chaine de magasins révèle qu’après un audit de sa sécurité, il a été découvert que les codes PIN avaient eux aussi été emportés. L’entreprise indique cependant que ces codes sont lourdement chiffrés et que la clé pour y accéder est stockée dans une base de données externe et indépendante.
Mais la situation déjà complexe pour Target est devenue plus délicate en fin de semaine dernière : la société a confirmé que 70 millions de comptes supplémentaires étaient concernés par la fuite, portant le total à 110 millions. Cependant, ces comptes ne sont pas touchés de la même manière. Ainsi, aucun numéro de carte de paiement ou de crédit n’a été dérobé, mais d’autres informations telles que les noms, adresses email, adresses postales et numéro de téléphone font partie de l’équation.
Une confiance à restaurer
Target précise cependant qu’il ne s’agit pas d’une nouvelle brèche mais d’une ancienne révélée par un audit récent. Ce qui ne change évidemment rien au résultat. En outre, la firme avertit actuellement les clients concernés par cette immense fuite, quand bien même les informations se révèlent la plupart du temps fragmentaires. En outre, elle établit un plan d’action incluant, comme Sony à son époque, une protection contre les fraudes bancaires pour les victimes. L’entreprise aura d’ailleurs fort à faire car comme l’indique le Wall Street Journal, elle enregistre depuis la confirmation du scandale une chute de ses ventes. Le responsable John Mulligan a d’ailleurs confirmé que la restauration de la confiance était désormais la priorité.
Neiman Marcus et trois autres enseignes touchées par des attaques
Seulement voilà, Target n’est désormais plus la grande enseigne américaine à avoir été victime d’un tel piratage. La chaine de boutiques de luxe Neiman Marcus subit elle aussi les foudres de ses clients après la confirmation d’un vol portant sur un nombre inconnu de cartes de paiement ou de crédit. La ou les attaques auraient eu lieu courant décembre et ont été confirmées par une société indépendante le 1er janvier. Rien ne dit actuellement que c'est la même méthode que pour Target qui a été utilisée, mais la proximité des deux attaques et des résultats crée la suspicion. Neiman Marcus a indiqué dans un tweet faire son possible pour avertir les clients concernés.
Et comme si cela n’était pas suffisant, le Chicago Tribune indique qu’au moins trois autres enseignes de ventes américaines seraient également concernées par de telles attaques, renforçant la suspicion autour d’une même méthode appliquée sur de nombreuses cibles en un court laps de temps. Cependant, les noms des entreprises touchées n’ont pas encore été rendus publics, même si le Tribune indique qu’il s’agit a priori d’enseignes possédant uniquement des boutiques dans les galeries marchandes des supermarchés. Ainsi, de grands magasins comme WalMart et K-Mart seraient épargnés.
Dans tous les cas, tous les piratages concernent prioritairement des cartes bancaires, ce qui pourrait éroder pour une période durable la confiance des clients dans ce moyen de paiement.
