2012, année du piratage ?
Tandis que 2012 s’achève, j’aimerais revenir sur certains des piratages les plus significatifs de l’année écoulée. Dans deux des plus grands piratages, des millions d’enregistrements personnels ont été volés.
En mars 2012, Global Payments, un processeur de cartes de crédit, a reconnu une intrusion dans laquelle au moins 1,5 million de numéros de carte de crédit ont été subtilisés. Et au début de l’année, des pirates ont ciblé Zappos, le détaillant en ligne de chaussures, et l’ont soulagé de 24 millions de lignes d’adresses email et d’autres données.
À la lumière de ces catastrophes, je pensais que 2012 avait été l’année du piratage, et un point de bascule décisif. Pour mettre les choses en perspective, j’ai consulté l’indispensable Data Breach Investigations Report de Verizon sur deux années entières. Le DBIR repose sur des données recueillies par le Secret Service américain et le National High Tech Crime Unit néerlandais. Pour 2011, Verizon a rapporté plus de 855 incidents, avec 174 millions d’enregistrements de données compromis. L’an dernier a eu lieu la deuxième plus grande perte de données enregistrée depuis que Verizon a commencé son étude en 2004.
Je ne sais pas si le piratage en
2012 s’avérera plus important qu’en 2011, mais dans tous les cas aucune de ces
deux années n’approcheront les 360 millions d’enregistrements de données
compromis en 2008. Cependant, d’autres tendances semblent être demeurées
relativement stables.
Ces dernières années, les trois
secteurs d’activité les plus touchés par des atteintes à la sécurité
informatique ont été la restauration, la vente au détail et la finance. Rien de
surprenant jusqu’ici.
Un autre thème récurrent dans le
rapport est que de mauvaises procédures d’autorisation, avec une mauvaise
surveillance, étendent souvent les dommages causés par les pirates. Verizon
suggère que les entreprises devraient en permanence être à l’affût de nouveaux
fichiers, spécialement des fichiers d’archive et de journalisation, dont le
volume augmente, et dotés d’attributs inhabituels. Ce sont souvent les signes
d’une attaque en cours.
Le DBIR nous indique également
que le piratage simple – utilisation des mots de passe par défaut, vol des
informations d’authentification ou attaque par porte dérobée – reste une façon
efficace d’extraire des données protégées.
Selon une statistique
révélatrice, la plupart des données piratées au cours de ces dernières années
ne contenaient pas de numéros de carte de crédit. La palme des données les plus
piratées revient aux bonnes veilles informations personnelles : nom,
adresse et numéro de sécurité sociale.
Qu’en est-il de Global Payments et Zappos ? S’inscrivent-ils dans ces tendances générales ? Hélas, oui. Secteur de la finance ou de la vente au détail ? Précisément. Attaque externe ? Oui. Attaque simple ? Il semble que oui, et aucun logiciel malveillant n’a été mis en œuvre, pour autant qu’on puisse le dire.
Pour Global Payments comme pour
Zappos, le modus operandi du piratage reste un peu flou. Selon Avivah Litan de Gartner Research, le pirate ayant attaqué Global
Payments pourrait avoir réussi à traverser la couche d’authentification basée
sur les connaissances déployée par l’entreprise en répondant correctement aux
questions. Il ne s’agit que d’une spéculation. Voici que nous savons :
Global Payments était certifié conforme à la norme PCI-DSS. Visa et Mastercard ont depuis révoqué sa certification.
Zappos, qui était également
certifié conforme PCI-DSS, gardait les numéros de carte de crédit cryptés et
séparés des autres informations personnelles. Les pirates n’ont pas été en
mesure d’accéder aux « PAN », jargon PCI pour les numéros de carte.
Zappos a conservé sa certification.
La partie la plus révélatrice du DBIR de Verizon se trouve dans ses conclusions. Il n’est pas exagéré de dire que les entreprises ne compliquent guère la vie des pirates. Ce n’est pas que ceux-ci sont exceptionnellement rusés ; c’est plutôt que les départements informatiques ont un peu manqué de rigueur.
Voici certains des conseils proposés, qui ne sont que trop familiers :
* modifier les informations d’authentification
par défaut
* ré-examiner les comptes utilisateurs
régulièrement
* limiter et surveiller les utilisateurs
privilégiés
Concernant ce dernier point, je cite le texte exact du DBIR :
« Ne donnez pas aux
utilisateurs plus de privilèges que ceux dont ils ont besoin (c’est le point le
plus important) et utilisez le partage des responsabilités. Assurez-vous que
les utilisateurs reçoivent orientation (ils connaissent les règles et les
attentes) et surveillance (pour vous assurer qu’ils les respectent).
L’utilisation privilégiée doit être journalisée et générer des messages à la
direction. »
Espérons que ces conseils soient
suivis, et 2013 sera une année moins mémorable dans les annales des actes de
piratage.