Le piratage de la chaine Target viendrait de la réutilisation d’authentifiants

Le piratage récent de la chaine de magasins Target aux États-Unis avait fait grand bruit. Ce sont ainsi 40 millions de numéros de carte bancaire qui ont été volés, faisant planer le spectre de la fraude sur autant de clients. Selon plusieurs éléments de l’enquête, il se pourrait que l’action ait été rendue possible grâce à la réutilisation d’authentifiants (identifiants et mots de passe) présents chez un sous-traitant.

Crédits : Nicholas Eckhart, licence Creative Commons

40 millions de cartes bancaires piratées 

Le mois dernier, une série de piratages a provoqué un vent de panique et de scandale aux États-Unis. Des dizaines de millions de cartes bancaires ont vu leurs informations fuiter à cause d’un accès illégitime à des informations de paiement. Le cas le plus représentatif était celui de la chaine de magasins Target, mais il n’était pas seul. L’enseigne Neiman Marcus avait été elle aussi touchée, tandis que des sources du Chicago Tribune indiquaient qu’au moins trois autres chaines pouvaient faire partie du lot des victimes.

La question d’un lien commun à tous ces cas était envisagée. Selon KrebsOnSecurity, il s’agirait en fait d’un sous-traitant de type HAVC (heating, ventilation, and air-conditioning), intervenant dans un grand nombre de magasins, dont ceux de Target justement. Selon des sources « proches de l’enquête », la première attaque aurait eu lieu le 15 novembre en utilisant des authentifiants volés à ce sous-traitant, Fazio Mechanical Services (FMS). La question de savoir pourquoi FMS aurait disposé de telles informations de connexion au réseau de Target n’est pas encore éclaircie.

Une opération soigneusement préparée 

Le président de FMS, Ross Fazio, a confirmé que les services secrets américains étaient bien venus dans l’entreprise pour leur enquête, mais il n’était pas présent dans les locaux à ce moment-là. Daniel Mitsch, le vice-président de la société, a refusé quant à lui d’apporter des détails sur cette visite. Quant à Target, aucune autre information n’est pour le moment transmise, la porte-parole Molly Snyder ayant simplement indiqué que l’enquête suivait son cours.

Même si le fin mot de l’histoire n’est pas encore connu, on en sait tout de même un peu plus sur la manière dont les pirates ont progressé dans le temps. Une fois les identifiants et mots de passe en main, ils ont ainsi passé les 13 premiers jours à mettre en place la structure de vol de données. L’opération est passée dans un premier temps par la mise en place d’un malware dans un petit nombre de terminaux dans des points de vente. Il s’agissait alors ni plus ni moins que d’une phase de test.

Des données volées en direct sur les terminaux de paiement 

Après presque deux semaines de contrôle, les pirates sont passés à la phase suivante. Ils ont ainsi propulsé le malware dans un grand nombre de terminaux de paiement, volant directement les informations bancaires quand elles transitaient par le réseau. Cela contredit les premiers rapports du mois dernier selon lesquels une base de données avait été exploitée. Il apparaît d’ailleurs, si ces éléments devaient se confirmer, que Target ne serait pas le grand fautif puisque les données ayant permis ce piratage auraient été volées initialement chez le sous-traitant.

Dans tous les cas, ce piratage devrait coûter relativement cher à Target. Selon l’analyste spécialisé dans les fraudes Avivah Litan, de chez Gartner, la facture pourrait s’élever à 420 millions de dollars. Un chiffre qui tiendrait compte de l’enquête, des audits, du manque à gagner suite à la crise de confiance des clients, ou encore des mesures prises pour protéger justement ceux qui ont été touchés. Des mesures similaires à celles que Sony avait mises en place lorsque le PlayStation Network avait été piraté.