Fuite d’informations : sécurité des postes de travail
- Fin 2010, la Sovereign Bank, groupe Santander, a dû informer une cinquantaine de ses clients de la possible compromission de leurs données bancaires, après avoir constaté une fuite d'informations. Le 12 décembre, la Pentagon Federal Credit Union, comptant près d'un million de clients, devait faire face à un problème relativement similaire. Après le piratage de l'un de ses postes de travail connecté à son réseau, un individu malveillant aurait eu accès à la base de données de la société (numéros de cartes de crédit, adresses, numéros de sécurité sociale ainsi que d'autres données personnelles et/ou sensibles). Le porte-parole de la PenFed n'a toutefois pas dévoilé le nombre exact de clients concernés par cette affaire.
- Certaines entreprises ne bénéficiant pas des connaissances nécessaires en matière de régulation prennent le parti d'effacer les postes concernés et de les réinstaller, ne facilitant pas de potentielles enquêtes ultérieures. Les procédures d'envoi de notifications aux clients sont coûteuses, mais plus coûteux serait l'impact sur l'image de l'entreprise qui n'engagerait pas ces procédures ou tenterait de passer une fuite sous silence.
- Les fuites d’informations sont susceptibles d’impacter acteurs bancaires
et non-bancaires. A titre d’exemple, une attaque par injection SQL
ciblant le site de l’agence touristique CitySights NY a permis à des
hackers de dérober environ 110 000 numéros de cartes bancaires (mais
également les dates d’expiration et CVV2 de ces cartes ainsi que les
noms, adresses et e-mails des porteurs). Cette attaque, réalisée fin
septembre, n’a été constatée que fin octobre. Rappelons par ailleurs que
la norme PCI-DSS n’autorise pas le stockage des CVV2 : « Ne jamais
stocker la totalité du contenu d’une quelconque piste (sur la bande
magnétique au verso d'une carte, sur une puce ou ailleurs) » (PCI
(Payment Card Industry) Data Security Standard, version 2.0, exigence
3.2.1).
Source : CyberSourse - Seventh Annual UK ONLINE FRAUD REPORT 2011 edition
- Rappelons également que ces identifiants bancaires peuvent par la suite être revendus par les pirates, pour quelques euros (ces prix varient selon la quantité d’informations, le type et le nombre de comptes que l’acheteur souhaite obtenir). A l’heure du tout numérique, l’Internet voit fleurir des offres de ventes illicites en tout genre. Pour en témoigner, en Chine, le site de vente aux enchères Taobao ne s’est pas opposé à la mise en vente d’environ 50 000 comptes iTunes piratés (le prix des codes d’accès variant de 3,5 à 23 euros approximativement), une offre qui devrait toutefois être retirée dès lors qu’Apple aura porté plainte.