Sécurité : McAfee accable Target
Dans son rapport sur les menaces informatiques pour le quatrième trimestre 2013, McAfee revient sans tendresse aucune sur l’importante violation de sécurité dont Target a été victime.
Le rapport de McAfee sur les menaces informatiques pour le quatrième trimestre 2013 permet enfin d’en apprendre un peu plus sur la violation de sécurité dont le groupe Target a été victime en fin d’année dernière. Et l’éclairage jeté sur l’incident s’avère assez riche d’enseignements.
L’éditeur commence ainsi par souligner que Target utilise une application de point de vente développée sur mesure. Un « détail crucial », explique-t-il, en cela que les attaquants n’ont pas pu découvrir le système avant de s’y introduire, en s’appuyant sur l’examen d’applications de point de vente du commerce. Pour autant, le logiciel malveillant utilisé était basé sur un autre, assez courant, BlackPOS, enrichi de « nombreuses personnalisations » visant à l’adapter à l’environnement du commerçant. Parmi celles-ci, des informations relatives aux domaines Active Directory, aux comptes utilisateurs et des adresses IP de partage SMB. Autant de signes d’une connaissance étendue de l’environnement informatique de Target. En outre, McAfee indique que le logiciel malveillant transmettait via FTP, en clair, sans le moindre chiffrement, les données de cartes bancaires collectées.
Au final, l’éditeur conclut de manière assez douloureuse pour le groupe américain que l’attaque dont il a été victime « est loin d’être ‘avancée’ », soulignant que BlackPOS est un kit d’exploit « sur étagère » susceptible d’être « facilement modifié et redistribué avec un minimum de compétences en programmation ou de connaissance de ses fonctionnalités ».
Est-ce à dire que la sécurité du système d’information de Target était insuffisante ? Dans les colonnes du San Jose Mercury News, Jim Walter, principal contributeur de la partie du rapport de McAfee relative à l’incident Target le laisse entendre : « comme attaque, c’est extrêmement peu impressionnant et peu remarquable. » Refusant de commenter spécifiquement le rapport, un porte-parole de la chaîne de magasins évoque toutefois, comme en réponse, un « crime hautement sophistiqué ».
Reste que l’approche de la sécurité en application chez Target au moment de l’intrusion a déjà commencé à être questionnée, notamment du fait qu’elle a pu être conduite grâce à des identifiants dérobés au sous-traitant de la chaîne pour la gestion de ses systèmes de ventilation et de climatisation.
Et récemment, Beth Jacob, DSI de Target, a présenté sa démission, évoquant une décision personnelle « difficile », sans faire mention de l’intrusion. Toutefois, le groupe vient d’engager une vaste réorganisation de sa sécurité IT, plaçant les fonctions sécurité du SI et conformité au sommet de la pyramide hiérarchique.