Vol de données personnelles : Target s’embourbe dans sa communication
Combien de clients ont été victimes du vaste piratage visant le renvendeur US Target en fin d’année ? Le groupe semble à peine capable de le dire et fait la démonstration d’une gestion de crise laborieuse.
Fin décembre, Target reconnaissait, dans un communiqué de presse, « l’accès non autorisé aux données de cartes bancaires susceptible d’avoir affecté certains clients ayant réalisé des achats par carte de crédit ou de débit dans ses magasins aux Etats-Unis, » entre le 27 novembre et le 15 décembre derniers. Et d’indiquer que les informations concernées « incluent le nom du client, le numéro de carte bancaire, sa date d’expiration, et son code de vérification (CVV). » A l'époque, la firme indiquait que 40 millions de clients étaient susceptibles d’être concernés.
Bien conscient du risque d’atteinte à son image, et de celui de perte de confiance, Target avait aussitôt cherché à rassurer, indiquant, le 23 décembre, travailler « activement » avec le Secret Service américain et le ministère de la justice pour enquêter sur une violation de sécurité liée à « un logiciel malveillant qui a affecté les systèmes de point de vente de Target dans nos magasins américains. » Tout en mentionnant avoir déjà prévenu 17 millions de clients par courrier électronique.
Quelques jours plus tard, Target se voulait rassurant : « nous sommes en mesure de confirmer que les codes PIN chiffrés de manière robuste ont été supprimés. » Comprendre que les codes PIN tapés par les clients au moment de régler leurs achats sont « chiffrés au niveau du clavier de saisie avec Triple DES. » Pour la chaîne de magasins, ces codes « sont restés chiffrés au sein de notre système et lorsqu’ils ont été retirés de nos systèmes. » Ils seraient ainsi « en sécurité », seul le partenaire de traitement des paiements de Target disposant des clés de chiffrement de ces codes PIN. Reste à savoir si ce tiers dispose de protections suffisamment robustes et si les pirates n’ont pas tout de même choisi de collecter ces données chiffrées pour tenter, en force brute, de les déchiffrer. L’affirmation d’une sûreté complète des codes apparaît ainsi pour le moins discutable.
Surtout se pose la question des raisons pour lesquelles Target stockait des données aussi sensibles. Dans les colonnes du Financial Times, John Kindervag, analyste chez Forrester, relève ainsi que « cela montre que Target accumulait beaucoup de données qui n’étaient pas nécessaires à leurs traitements. » Et si pour lui, les codes PIN sont probablement en sécurité, « si vous avez utilisé votre carte de débit chez Target, c’est probablement une bonne idée que d’en changer le code PIN. »
Plus loin, c’est la conformité de la chaîne avec le standard PCI DSS qui est questionnée. Jeff Peters, chez HackSurfer, relève que le standard prévoit que le contenu complet de la piste magnétique d’une carte bancaire ne soit pas stocké, ni même le code PIN. Reste à savoir où est intervenu le logiciel malveillant concerné - visant les données stockées par Target ou bien détournant les terminaux de paiement. Chez Forbes, l’analyste Paula Rosenblum estime que Target a été victime de skimming, comprendre, de détourner des terminaux de paiement. Mais dans les colonnes de USA Today, Nick Aceto, directeur technique de CardConnect, met ouvertement en doute la conformité PCI DSS de Target au moment de l’incident : « nous ne pouvons pas affirmer définitivement que cette violation est la conséquence d’un défaut de conformité de Target avec PCI DSS, mais à partir de ce que Target a déclaré, il est très difficile de croire qu’il était conforme avec PCI 2.0 » au moment de l’incident. En particulier, il s’interroge : « cette attaque est restée non remarquée durant 18 jours. Comment se fait-il qu’ils ne surveillaient pas leur réseau ? L’une des exigences de PCI DSS est que l’on surveille les logs et les pare-feux chaque jour, à la recherche d’activités inhabituelles. »
Ajoutant à une communication qui peine donc à rassurer, Target vient d’indiquer que les attaquants ne sont pas partis qu'avec les numéros de cartes bancaires de 40 millions de clients. Ils auraient aussi réussi à dérober les données personnelles - « noms, adresses postales, numéros de téléphone, ou adresses e-mail » - de… 70 millions de personnes. Certaines de ces victimes sont susceptibles de figurer parmi les détenteurs des 40 millions de cartes bancaires dont les données ont été compromises. Mais pas toutes. De quoi entamer encore un peu plus la confiance dans un commerçant qui s’est vu contraint, à la suite de cet incident, de revoir à la baisse ses prévisions financières.