 |
|
|
| |
|
|
| Sommaire
Acteurs |
|
| Les
données de 46 millions de cartes bancaires dérobées
aux Etats-Unis |
| Aujourd'hui
rendu public, le vol remonte à 2005 et les données exploitées
à 2002-2004. Une affaire rendue possible par un cryptage
non systématique. (02/04/2007) |
|
Près de 45,7 millions de transactions relatives à des cartes
de crédit ou des cartes de retrait ont été dérobées par des
criminels informatiques auprès de la société TJX, propriétaire
des chaînes de magasins Winners et HomeSense présentes aux Etats-Unis,
au Canada et en Grande-Bretagne. Il s'agit du vol informatique
le plus important jamais perpétré en volume dans l'histoire
des Etats-Unis.
Les criminels ont réellement débuté leurs activités il y plus
de 18 mois, au milieu de l'année 2005 en parvenant à accéder
aux serveurs de stockage de niveau 2 de la société, où les données
sont conservées un moment avant d'être détruites. Sur ces serveurs,
une partie seulement des informations est stockée de manière
chiffrée, l'autre étant disponible en clair c'est-à-dire sans
cryptage.
Mais
même pour les informations chiffrées, TJX ne peut garantir la
confidentialité des données de ses clients. En effet, les criminels
sont également parvenus à accéder au serveur de chiffrement
et donc à l'algorithme utilisé par la société. Toutefois, aucune
information sur le code PIN n'était stockée sur ces serveurs,
limitant de fait la création de cartes de crédit falsifiées
(mais pas les opérations passées à distance).
"Nous soupçonnons que les données volées en 2005 représentaient
entre la moitié et la totalité des transactions passées dans
nos magasins aux Etats-Unis, à Porto Rico et au Canada entre
la période du 31 décembre 2002 jusqu'au 28 juin 2004", explique
la société dans un communiqué. Près de 500 000 données supplémentaires
auraient été également subtilisées en 2003.
| Déjà
10 personnes interpellées, dont 6 arrêtées |
Découverts il y a trois mois, ces vols ont fait l'objet d'une
enquête de plusieurs mois confiée aux sociétés IBM et General
Dynamics. Jusqu'à présent, 6 personnes ont été arrêtées par
la police pour leur participation dans cette affaire, et quatre
autres attendent d'être présentées au département de la justice
de Floride. Mais toute la lumière n'a pas encore été faîte par
les enquêteurs sur les méthodes employées notamment.
"Il y a beaucoup d'informations qui nous manquent, et que nous
ne serons peut être jamais en mesure de connaître, ce qui rend
si laborieuse cette enquête", expliquait Sherry Lang, porte-parole
de TJX au quotidien Boston Globe. Impossible par exemple de
déterminer si les accès frauduleux au système de stockage sont
issus d'une seule faille de sécurité, de plusieurs, d'une tentative
d'intrusion unique ou de multiples tentatives séparées dans
le temps.
Difficile également d'établir pour TJX un état des lieux précis
du nombre de cartes de crédit ou de débit désormais compromise.
D'une part parce qu'une partie des informations dérobées ont
été définitivement effacées des systèmes informatiques entre
la date du vol et la découverte de celui-ci, et d'autre part
parce qu'une partie des cartes concernées a depuis expiré.
L'affaire porte sur plus de 2 500 magasins, et aurait déjà
coûté 5 millions de dollars à TJX pour l'enquête, les mesures
correctives apportées et les procès en cours. La société a en
effet déjà entrepris de crypter l'ensemble de ces informations
stockées à tous les niveaux et de renforcer les contrôles d'accès.
Insuffisant d'après les actionnaires de la société qui ont lancé
une plainte collective contre leur société, en raison du manque
de détails fournis à propos de l'intrusion.
En juin 2005, une autre affaire du même type avait défrayé la
chronique aux Etats-Unis. Le spécialiste des cartes de paiement
CardSystems s'était alors fait dérobé des informations relatives
à 40 millions de ses cartes.
|
| |
| |
|
|
|
|
|
|
Dossier 