Cyber Attack Target : c'est un blogueur qui a révélé l'affaire... et Visa avait prévenu les retailers dès Aout 2013.

Publié le par le-furet-du-retail

0302-breach-Global-Payments-credit-cards_full_600-copie-1.jpg

Les langues se délient aux Etats Unis. Et Reuters est allé un peu plus loin hier samedi 11 janvier, dans une dépèche livrant plus de détail sur la nature de l'attaque, l'historique car 2013 à été une bonne année pour les Hackers Target n'ayant été qu'un ''aboutissement" d'une stratégie apparemment partie de loin, et que VISA Inc avait prévenu les Enseignes leader sur la techniques en cours chez les hackers et même donné les moyens de les contrer dès Aout 2013.

Target à il mis en place les mesures données par Visa ???? Cela a t"il été suffisant ??? un peu de détail. 

Target Corp n’a donc pas été la seule victime de cyber attack ‘’data breach’’ en 2013. Neimann Marcus (site de vêtements et chaussures http://www.neimanmarcus.com/) a avoué suite à l'annonce de Target le 15 décembre, avoir été lui même aussi victime d’un hackage similaire à celui de Target plus tôt dans l’année (Janvier 2013). Et sans vouloir être citées, d’autres enseignes qui n’avaient jamais souhaité le mettre au grand jour commencent à avouer l'avoir été en 2013.

neiman-marcus-announces-possible-data-breach.jpg

Les détaillants sont souvent réticents à signaler les violations de leur système informatique, afin d’éviter des nuisances à leurs entreprises .

Et on apprend également aujourd’hui par une dépêche Reuters que le ‘’data breach’’ à été révélé par un …  blogueur, Brian Krebs, qui a signalé l'infraction suite probablement à une fuite interne Target, ce qui à provoqué immédiatement des questionnements et réactions de la part des journalistes et des investisseurs. Pris au piège, Target à donc du porter l’information au grand public.

Est-ce à dire que Target n’aurait pas communiqué sur le problème comme tant d’autres détaillants ? C'est possible afin d'épargner les ventes de Noël....  La Cyber attack a été maîtrisée assez vite malgrés son ampleur, et l’évasion de données stoppée. Le temps que la machine s'arrête néanmoins, 40 millions de transaction et 70 millions de coordonnées client ont été aspirées. Par contre Target à pu être tenté de vouloir gagner du temps par rapport aux ventes de Noël des magasins.

C’est donc sous la pression et contrainte des investisseurs que l’enseigne à donc été obligé de faire l’annonce officielle le 15 décembre, soit 9 jours avant Noël.

Quelles techniques de piratage ont donc été utilisées ? 

D’autres infractions sur au moins 3 autres détaillants américains ‘’bien connus’’ ont eu lieues en 2013 et ont été réalisées en utilisant des techniques similaires à celle de Target, selon des experts familiers des cyber attack. Et d’autres violations devraient encore être révélées.

Ces sources ont également indiquées que si elles soupçonnent les auteurs d’être les mêmes que ceux qui ont lancé l'attaque sur Target, elles ne peuvent en être sûrs et tous essayent de trouver les coupables de toutes ces violations de sécurité ''sensible''. Car l'ampleur fait peur au plus haut niveau de l'état américain.

big-data1.jpg

Du côté des instances judiciaires, les soupçons portent sur des meneurs originaires d'Europe de l'Est, impliqués dans la plupart des grandes affaires de cybercriminalité au cours des dix dernières années.

Neiman Marcus à indiqué ne pas savoir si la violation dont ils ont été victime était liée de prés ou de loin à l'incident de Target. Mais les premières enseignes hackées en 2013 dont Neimann Marcus ont peut être constituées des phases ''test'' avant une opération de plus grande envergure lancée pendant la plus forte période de vente de la distribution américaine et sur son N°5. 

Les sociétés, détaillants, organismes financiers ne parlent pas …. néanmoins, la plupart des États Américains ont des lois qui obligent les entreprises à communiquer l’information à leur clients quand certains renseignements personnels sont compromis dans le cadre d’une violation de données.

Dans de nombreux cas, l’obligation de notification aux victimes tombe sur l'émetteur de carte de crédit. Et les sites marchands sont tenus de signaler les violations des renseignements personnels à leur clients. Mais qui est réellement responsable? aux yeux de la loi, aux yeux de la clientèle? l’enseigne, l’établissement de crédit ? le tiers payant ?

Qui doit annoncer la bonne nouvelles aux clients hackés ? C'est peut être sur ce point que Target pensait jouer pour justifier sa lenteur de réaction. Il semble que ce soit sur cette faille que s’appuient les détaillants en ne comprenant pas toujours que/si cette tâche - et donc responsabilité - leur incombent.

Le Secret Service et le ministère de la Justice , qui enquêtent sur la violation de l'enseigne, ont refusé de commenter samedi l’annonce de Target.

le furet du retail target 1

Target n'a pas révélé non plus comment les agresseurs ont réussi à violer son réseau ou siphonner une partie de ses données clients les plus sensibles .

Mais les sources qui ont communiquées avec Reuters ont indiquées que les enquêteurs pensent que les assaillants ont utilisé des techniques et le principe de logiciels ‘’malveillants’’ (‘’memory parsing malware’’) pour voler des données de Target et d'autres détaillants similaires.

Un des outils/technique qui semblerait utilisés par les hackers dans cette histoire ressemblerait à quelque chose de connu depuis longtemps appelé ‘’RAM Scraper’’ (gratteur de mémoire) ou logiciel d’analyse de mémoire. Ce qui permettrait aux cybercriminels de saisir des données chiffrées en les capturant quand elles se déplacent à travers la mémoire vive d'un ordinateur, où qui apparaît dans le texte bruts, selon les mêmes sources (désolé le Furet n’est pas un technos mais c’est ce qu’il me semble avoir compris).

Textes origines Reuters :

One of the pieces of malware they used was something known as a RAM scraper, or memory-parsing software, which enables cyber criminals to grab encrypted data by capturing it when it travels through the live memory of a computer, where it appears in plain text, the sources said.

Bien que cette technique soit connue depuis de nombreuses années, son utilisation à augmentée. Ceci expliquerait peut être que même en France 2013 à été une année noire pour le piratage de données bancaire en ligne. Certes les détaillants ont amélioré leur sécurité par rapport à cette technique, pensant certainement que cela serait suffisant, et rendant la tâche plus difficile pour les pirates souhaitant obtenir des données de carte de crédit en utilisant d'autres approches. Mais est ce suffisant ?

 

images-copie-6

Visa Inc avait d’ailleurs publié deux alertes en 2013 indiquant constater une forte augmentation des cyber-attaques sur les détaillants, et plus spécifiquement les avait mis en garde contre cette menace de la mémoire de l'analyse des logiciels malveillants ‘’‘’memory parsing malware’’.

Ces alertes, publiées en Avril et Août 2013, étaient accompagnées d’informations et de détails techniques sur la façon dont ces attaques étaient lancées, ainsi que des conseils sur la manière de les ‘’contrarier’’.  Visa Inc a refusé de commenter les annonces récentes.

L’équipe de sécurité informatique Target avait elle fait le nécessaire suite aux recommandations données par  VISA pour réduire les risque d’une Cyber attack ? Rien ne peut l’indiquer à date. Et même si le détaillant avait mis en œuvre ces mesures, les efforts peuvent ne pas avoir réussis à arrêter l'attaque. Les assaillants s’améliorent (pardonnez l’expression) et rien n’indique qu’ils n’ont pas encore progressés depuis ces alertes. Et rien n’indique que les Hackers n’ont pas aussi été ‘’boosté’’ par ces alertes VISA, compte tenu de leur volonté d’avoir toujours une longueur d’avance. Comme le dopage, il a toujours une phase d’avance par rapport aux dépisteurs.

Et les phases de tests… on peut être eu comme aboutisement ultime cette attaque sur Target avec une violence et une rapidité sans précédent.

Chris Gray (Directeur des Risques et respect des pratiques de la société Accuvant spécialisée dans la sécurisation des informations à Denver Colorado) précise que les cybercriminels sophistiqués n'agissent qu'un seule fois et se retirent, avant que les victimes ne réagissent et essaie de les attraper. En général ils testent, ils affinent, s'assurent que cela fonctionne ... et lance leur attaque au moment approprié afin de faire autant de dégats que possible. Probable que l'on ne les retrouvera jamais.... le nouveau hackage est international. Comme le prouve ce pauvre senior américain dans le reportage de France 2 dont la carte Target à servis à acheter des pizzas en INDE....... 

Et ce que je comprends c'est que les sommes en jeu sont collossales, mais au bout, ce ne sont que de petits bénéficaires alimentés par une mafia internationale. Comme le petit consommateur de drogue, il n'a pas l'impression de servir un réseau international et faire de mal en fumant son pétard .... J'ai découvert au cours des mes investigations que les coordonnées bancaires d'une carte piratée coute en moyenne 2,45 € ... et le niveau moyen de piratage en France est de 247€ ...

2014 commence mal sur ce plan là, nous n'avons pas fini de jouer avec les criminels insaisissables. 

Voir mes précédents post : 

Cyber attaque Target 1/2 : un Noël cauchemardesque pour le 5ème distributeur Américain.

Cyber attack Target 2/2 : il y aura un avant et un après 19 décembre 2013 pour le paiement en ligne !

#2/2 - Ventes de fin d'année 2013 : Target s'excuse auprès de ses clients, alors que le marché noir des REDCARD piratées à déjà commencé !

Target le cauchemar continue : 70 millions de données clients subtilisées.


Inspiration de ce post et mentions Sources Reuters / Huffington Post Jan 11 / Reportage Jim Finkle à Boston et Mark Hosenball à Washington, édité par Grant McCool

Publié dans pure player strategy

Commenter cet article