Piratage de Target : une approche de la sécurité questionnée
Alors que la direction de Target défend ses pratiques de sécurité devant le congrès américain, l’enquête sur l’attaque dont la chaîne de supermarchés a été victime aurait commencé avec le détournement des identifiants d’un sous-traitant chargé… de la climatisation.
Il ne fait pas de doute que cette information fera glousser. Alors que les dirigeants de la chaîne Target défendent, devant le congrès américain, leurs pratiques de sécurité, notre confrère Brian Krebs affirme que l’attaque dont a été victime fin 2013 le commerçant a commencé par le détournement des identifiants accordés à un sous-traitant en charge de la climatisation.
Ainsi, l’enquête montrerait que « les attaquants se sont pour la première fois infiltrés dans le réseau [de Target] le 15 novembre dernier, en utilisant des identifiants volés à Fazio Mechanical Services », un spécialiste des systèmes de ventilation et de climatisation. Son président a confirmé avoir fait l’objet d’une visite des services secrets américains dans le cadre de l’enquête.
Comme le relève Brian Krebs, la raison pour laquelle Target a pu fournir de tels identifiants à son sous-traitant chargé de la climatisation n’ont rien d’évident, pas plus que celle expliquant qu’il ait été possible, avec eux, d’accéder aux systèmes de paiement. Selon un spécialiste resté anonyme et cité par notre confrère, un tel sous-traitant peut avoir besoin d’un accès distant au réseau d’un magasin afin de contrôler la consommation énergétique et les fluctuations de température. Se pose tout de même la question de la dissociation des systèmes. Et du fait qu’elle ne soit pas requise par le standard PCI DSS. Car ce serait bien en utilisant les identifiants du sous-traitant que les attaquants auraient, entre le 15 et 28 novembre derniers, réussi à transférer leur logiciel malveillant sur quelques systèmes de gestion des paiements par carte de magasins Target, afin d’en tester le fonctionnement afin un déploiement massif.
Enfin, l’enquête montrerait que les pirates n’ont pas massivement transféré les données collectées en Russie mais les ont plutôt déposées sur de multiples ordinateurs personnels compromis aux Etats-Unis, utilisés comme des caches, afin de brouiller les pistes.