Piratage de cartes bancaires à 45 M$ : la sécurité du BPO indien en question
Alors que la justice américaine vient de révéler un piratage de cartes prépayées mondial d’un de grande ampleur, les regards se tournent vers les systèmes d’information dont la vulnérabilité à permis l’opération. Et ils se trouvent en Inde, dans des entreprises d’externalisation des processus métiers.
En fin de semaine dernière, la justice américaine a engagé des procédures contre huit personnes soupçonnées d’avoir participé à une série d’opérations coordonnées et précises dans rien moins qu’une vingtaine de pays. Des opérations qui se sont conclues par le vol de rien moins que 45 M$ directement dans des distributeurs automatiques, à partir de cartes bancaires prépayées. La faille ? Pour Marcin Skowronek, du tout jeune EC3 d’Europol, ce sont ces cartes bancaires dépourvues de puces et de code personnel : «En Europe, nous sommes généralement plutôt bien protégés contre ces types de fraude grâce à la technologie de puce et de code personnel que nous utilisons. Mais il y a encore des magasins et des machines à travers le monde qui continuent d’accepter les cartes sans puce [à simple bande magnétique et plus faciles à dupliquer, NDLR]. Les destinations les plus populaires pour ce type de fraude sont les Etats-Unis et la République dominicaine.»
Mais avant de dupliquer des cartes prépayées et de les utiliser dans différents distributeurs et pays, les pirates ont commencé par infiltrer le système d’informations de spécialistes indiens de l’externalisation des processus métiers (BPO) oeuvrant pour Visa et MasterCard pour en relever les plafonds de retrait. Une piste prise d’autant plus au sérieux que le BPO compte pour beaucoup dans l’économie locale.
Doutes sur la sécurité IT en Inde
C’est ainsi que le CERT indien vient de se saisir du dossier pour enquêter «sur les aspects techniques» de l’incident. Interrogé par Reuters, Gulshan Rai, Directeur général de l’organisme, explique : «quel type d’incident est survenu dans le système, comment, quels sont les processus en place ? C’est l’aspect technique complet qui nous intéresse.»
Deux entreprises indiennes seraient ainsi concernées : ElectraCard Systems, à Pune, au sud-est de Bombay, et EnStage, installé à Bangalore avec un siège à Cupertino. Visa n’a pas tardé à réagir en leur retirant tout mandat. MasterCard est quant à lui actionnaire d’ElectraCard, du groupe Opus Software, à hauteur de 12 %. EnStage assurait notamment le traitement des transactions par cartes bancaires de la banque de Muscat à Oman; cette dernière a perdu 40 M$ dans l’affaire. Quant à ElectraCard, c’est son client National Bank of Ras Al Khaimah (Rakbank), des Emirats Arabes Unis, qui a perdu 5 M$. Celles-ci pourraient confier l’affaire à leurs assurances ou se retourner contre leurs sous-traitants, en fonction des clauses de leurs contrats précisant notamment le niveau de responsabilité.
Ce n’est pas la première fois qu’un tiers gestionnaire de transactions par cartes bancaires est impliqué dans une importante affaire de faille sécurité : on se souvient notamment du cas Heartland, outre-Atlantique, en 2008. Mais ce n’est pas non plus la première fois que la sécurité des systèmes d’informations des spécialistes indiens du BPO est mise en cause. En mars 2009, deux journalistes de la BBC avaient révélé un vaste vol organisé de données personnelles dans des centres d’appel indiens. Des vols qui avaient pour finalité la revente, à des fins de détournement, de détails de paiement par carte bancaire.
Dans un communiqué, Govind Setlur, cofondateur d’EnStage en 1999, a expliqué être très «attentif à la sécurité de l’information». Et de promettre de «continuer à prendre toutes les mesures raisonnables pour assurer que [ses] réseaux sont protégés des acteurs criminels ». Il ajoute que son entreprise s’est associé les services d’experts indépendants pour «analyser l’intrusion et recommander des améliorations pour [son] infrastructure de sécurité de l’information ». Des mesures qui auraient, depuis, été mises en place, ainsi que des «capacités de supervision additionnelles ».
L’Inde milite depuis plusieurs mois pour être classée par l’Europe parmi les pays sûrs pour le transfert de données personnelles. Pour l’heure, le Vieux Continent s’y refuse arguant d’un manque de contrôle, de définition des responsabilités et de peines potentielles en cas de fuite de données dans le cadre de sa législation existante.