2012, année du piratage ?

Tandis que 2012 s’achève, j’aimerais revenir sur certains des piratages les plus significatifs de l’année écoulée. Dans deux des plus grands piratages, des millions d’enregistrements personnels ont été volés.

En mars 2012, Global Payments, un processeur de cartes de crédit, a reconnu une intrusion dans laquelle au moins 1,5 million de numéros de carte de crédit ont été subtilisés. Et au début de l’année, des pirates ont ciblé Zappos, le détaillant en ligne de chaussures, et l’ont soulagé de 24 millions de lignes d’adresses email et d’autres données.

À la lumière de ces catastrophes, je pensais que 2012 avait été l’année du piratage, et un point de bascule décisif. Pour mettre les choses en perspective, j’ai consulté l’indispensable Data Breach Investigations Report de Verizon sur deux années entières. Le DBIR repose sur des données recueillies par le Secret Service américain et le National High Tech Crime Unit néerlandais. Pour 2011, Verizon a rapporté plus de 855 incidents, avec 174 millions d’enregistrements de données compromis. L’an dernier a eu lieu la deuxième plus grande perte de données enregistrée depuis que Verizon a commencé son étude en 2004.

Je ne sais pas si le piratage en 2012 s’avérera plus important qu’en 2011, mais dans tous les cas aucune de ces deux années n’approcheront les 360 millions d’enregistrements de données compromis en 2008. Cependant, d’autres tendances semblent être demeurées relativement stables.
Ces dernières années, les trois secteurs d’activité les plus touchés par des atteintes à la sécurité informatique ont été la restauration, la vente au détail et la finance. Rien de surprenant jusqu’ici.
Un autre thème récurrent dans le rapport est que de mauvaises procédures d’autorisation, avec une mauvaise surveillance, étendent souvent les dommages causés par les pirates. Verizon suggère que les entreprises devraient en permanence être à l’affût de nouveaux fichiers, spécialement des fichiers d’archive et de journalisation, dont le volume augmente, et dotés d’attributs inhabituels. Ce sont souvent les signes d’une attaque en cours.

Le DBIR nous indique également que le piratage simple – utilisation des mots de passe par défaut, vol des informations d’authentification ou attaque par porte dérobée – reste une façon efficace d’extraire des données protégées.
Selon une statistique révélatrice, la plupart des données piratées au cours de ces dernières années ne contenaient pas de numéros de carte de crédit. La palme des données les plus piratées revient aux bonnes veilles informations personnelles : nom, adresse et numéro de sécurité sociale.

Qu’en est-il de Global Payments et Zappos ? S’inscrivent-ils dans ces tendances générales ? Hélas, oui. Secteur de la finance ou de la vente au détail ? Précisément. Attaque externe ? Oui.  Attaque simple ? Il semble que oui, et aucun logiciel malveillant n’a été mis en œuvre, pour autant qu’on puisse le dire.

Pour Global Payments comme pour Zappos, le modus operandi du piratage reste un peu flou. Selon Avivah Litan de Gartner Research, le pirate ayant attaqué Global Payments pourrait avoir réussi à traverser la couche d’authentification basée sur les connaissances déployée par l’entreprise en répondant correctement aux questions. Il ne s’agit que d’une spéculation. Voici que nous savons : Global Payments était certifié conforme à la norme PCI-DSS. Visa et Mastercard ont depuis révoqué sa certification.
Zappos, qui était également certifié conforme PCI-DSS, gardait les numéros de carte de crédit cryptés et séparés des autres informations personnelles. Les pirates n’ont pas été en mesure d’accéder aux « PAN », jargon PCI pour les numéros de carte. Zappos a conservé sa certification.

La partie la plus révélatrice du DBIR de Verizon se trouve dans ses conclusions. Il n’est pas exagéré de dire que les entreprises ne compliquent guère la vie des pirates. Ce n’est pas que ceux-ci sont exceptionnellement rusés ; c’est plutôt que les départements informatiques ont un peu manqué de rigueur.

Voici certains des conseils proposés, qui ne sont que trop familiers :

* modifier les informations d’authentification par défaut
* ré-examiner les comptes utilisateurs régulièrement
* limiter et surveiller les utilisateurs privilégiés

Concernant ce dernier point, je cite le texte exact du DBIR :

« Ne donnez pas aux utilisateurs plus de privilèges que ceux dont ils ont besoin (c’est le point le plus important) et utilisez le partage des responsabilités. Assurez-vous que les utilisateurs reçoivent orientation (ils connaissent les règles et les attentes) et surveillance (pour vous assurer qu’ils les respectent). L’utilisation privilégiée doit être journalisée et générer des messages à la direction. »
Espérons que ces conseils soient suivis, et 2013 sera une année moins mémorable dans les annales des actes de piratage.