Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Target, Neiman Marcus : des millions de numéros de cartes bancaires dérobés

Damage control...

Plusieurs immenses brèches de sécurité aux États-Unis ont provoqué le vol de dizaines de millions de numéros de cartes bancaires. La chaine de magasins Target a été la première visée mais n’est désormais plus la seule depuis que les boutiques Neiman Marcus sont désormais de la partie. Il pourrait s’agir dans les deux cas de la même méthode, mais le lien reste encore à démontrer.

carte crédit banque

Crédits : Cheon Fong Liew, licence Creative Commons

40 millions de cartes bancaires piratées dans un premier temps 

La chaine de magasins Target est victime d’une immense fuite de données après le piratage plus que réussi de l’une de ses bases. Tout a commencé quelque part entre le 27 novembre et le 15 décembre, dans une période qui inclut aussi bien le fameux Black Friday que le Cyber Monday. Une alerte avait été publiée par Krebs on Security pour indiquer qu’une immense opération de vol de données sensibles contre Target avait été couronnée de succès, une information qui avait été confirmée par l’entreprise quelques jours plus tard.

Dans cette première communication officielle de Target, datée du 20 décembre, la société y indique que des informations personnelles ont été volées mais ne donne guère d’éléments. La situation est en fait relativement grave : 40 millions de numéros de cartes de crédits ou de paiement ont été dérobés, accompagnés de leurs dates d’expiration et des trois derniers chiffres au dos de la carte (code CCV). Target a beau tenter d’adoucir la situation et préciser que rien n’indique que les codes PIN ont été volés, les évènements vont lui donner tort.

70 millions de personnes supplémentaires 

Une semaine plus tard, la chaine de magasins révèle qu’après un audit de sa sécurité, il a été découvert que les codes PIN avaient eux aussi été emportés. L’entreprise indique cependant que ces codes sont lourdement chiffrés et que la clé pour y accéder est stockée dans une base de données externe et indépendante.

 

Mais la situation déjà complexe pour Target est devenue plus délicate en fin de semaine dernière : la société a confirmé que 70 millions de comptes supplémentaires étaient concernés par la fuite, portant le total à 110 millions. Cependant, ces comptes ne sont pas touchés de la même manière. Ainsi, aucun numéro de carte de paiement ou de crédit n’a été dérobé, mais d’autres informations telles que les noms, adresses email, adresses postales et numéro de téléphone font partie de l’équation.

Une confiance à restaurer 

Target précise cependant qu’il ne s’agit pas d’une nouvelle brèche mais d’une ancienne révélée par un audit récent. Ce qui ne change évidemment rien au résultat. En outre, la firme avertit actuellement les clients concernés par cette immense fuite, quand bien même les informations se révèlent la plupart du temps fragmentaires. En outre, elle établit un plan d’action incluant, comme Sony à son époque, une protection contre les fraudes bancaires pour les victimes. L’entreprise aura d’ailleurs fort à faire car comme l’indique le Wall Street Journal, elle enregistre depuis la confirmation du scandale une chute de ses ventes. Le responsable John Mulligan a d’ailleurs confirmé que la restauration de la confiance était désormais la priorité.

Neiman Marcus et trois autres enseignes touchées par des attaques 

Seulement voilà, Target n’est désormais plus la grande enseigne américaine à avoir été victime d’un tel piratage. La chaine de boutiques de luxe Neiman Marcus subit elle aussi les foudres de ses clients après la confirmation d’un vol portant sur un nombre inconnu de cartes de paiement ou de crédit. La ou les attaques auraient eu lieu courant décembre et ont été confirmées par une société indépendante le 1er janvier. Rien ne dit actuellement que c'est la même méthode que pour Target qui a été utilisée, mais la proximité des deux attaques et des résultats crée la suspicion. Neiman Marcus a indiqué dans un tweet faire son possible pour avertir les clients concernés.

neiman marcus

Et comme si cela n’était pas suffisant, le Chicago Tribune indique qu’au moins trois autres enseignes de ventes américaines seraient également concernées par de telles attaques, renforçant la suspicion autour d’une même méthode appliquée sur de nombreuses cibles en un court laps de temps. Cependant, les noms des entreprises touchées n’ont pas encore été rendus publics, même si le Tribune indique qu’il s’agit a priori d’enseignes possédant uniquement des boutiques dans les galeries marchandes des supermarchés. Ainsi, de grands magasins comme WalMart et K-Mart seraient épargnés.

Dans tous les cas, tous les piratages concernent prioritairement des cartes bancaires, ce qui pourrait éroder pour une période durable la confiance des clients dans ce moyen de paiement.

64 commentaires
Avatar de tAran INpactien
Avatar de tArantAran- 13/01/14 à 16:00:07

Safety first :troll:

Avatar de unCaillou INpactien
Avatar de unCaillouunCaillou- 13/01/14 à 16:03:36

C'est passé aux infos il y a quelques temps, et des citoyens américains témoignaient du fait que leur compte avait étés débités plusieurs fois par des inconnus, notamment en Inde.

Informer du vol c'est bien, mais après est-ce que les enseignes ou les banques remboursent ?

Avatar de Latoof INpactien
Avatar de LatoofLatoof- 13/01/14 à 16:06:00

On peut penser à un 0-day.

On peut aussi penser à des failles de sécu qui auraient dues être au moins colmatées depuis 10 ans (type SQL, XSS exploitant les nouveaux frameworks JS, etc)

Avatar de Geolim4 INpactien
Avatar de Geolim4Geolim4- 13/01/14 à 16:07:00

D’où l’intérêt d'activer la confirmation par MDP/N° de tel pour les paiements en ligne

Avatar de serik INpactien
Avatar de serikserik- 13/01/14 à 16:09:10

En même temps depuis le temps que l'on dit aux banques de mettre des systèmes de sécurité en place (genre 3D secure, mais il faudrait pouvoir imposer que les transactions passent par ce système, car pour l'instant c'est seulement le vendeur qui est protégé, pas le client!!!).
Et toutes ces fraudes ont des coûts qui sont répercutés in fine sur le consommateur final...

Avatar de null INpactien
Avatar de null- 13/01/14 à 16:10:10

1 - pas de close source
2 - du lean open source donc pas de java, pas de gcc mais du C, un linux stripped down...
3 - du hard le plus débile et simple possible (envisager FPGAs pour secu fixing)
4 - une armée de pen-tester...

:chinois:

Avatar de nyandog INpactien
Avatar de nyandognyandog- 13/01/14 à 16:13:09

Et en plus ils payent des impots pour les budgets pharaoniques de la nsa.
Ils l'ont encore plus profond que les français.
:mdr:
On peut en dire sur les gouv fr et leur invariable jean-foutre du peuple français mais là c'est le strike de toutes les politiques pro collection d'info de la planète depuis ces dernières décennies et c'est les américains qui sont partis pour payer plein pots ... on se le prendra juste derrière mais bon, le moment est doux.
:mdr2:

Avatar de Marc4444 Abonné
Avatar de Marc4444Marc4444- 13/01/14 à 16:13:15

unCaillou a écrit :

C'est passé aux infos il y a quelques temps, et des citoyens américains témoignaient du fait que leur compte avait étés débités plusieurs fois par des inconnus, notamment en Inde.

Informer du vol c'est bien, mais après est-ce que les enseignes ou les banques remboursent ?

En France oui mais aux US ?

Avatar de Berri-UQAM INpactien
Avatar de Berri-UQAMBerri-UQAM- 13/01/14 à 16:15:52

On parle de cartes bancaires distribuées par les branches financières de Target et Neiman Marcus, ou bien de cartes qui ont été servies pour faire des achats dans ces magasins, quelle que soit leur banque d'émission ?

Avatar de CoooolRaoul INpactien
Avatar de CoooolRaoulCoooolRaoul- 13/01/14 à 16:24:44

Le pire est qu'un système type E-Carte bleue n'est même pas la solution dans ce cas: il s'agit de piratage des terminaux PdV en supermarché!

Il n'est plus possible de commenter cette actualité.
Page 1 / 7