Les secrets de la prévention des attaques de points de vente

Analyse du vol de numéros de carte de crédit dont a été victime Target en début d'année pour montrer quelles bonnes pratiques auraient pu être mises en place par l'enseigne (et tous les points de vente en général) pour éviter un piratage.

Le cybercambriolage de l’enseigne Target au cours duquel des dizaines de millions de numéros de carte de crédit ont été retirés du système de terminaux de point de vente d’un grand détaillant comporte encore une large part de mystère. Mais nous en apprenons davantage chaque jour. Le toujours indispensable Krebs constitue un bon point de départ pour obtenir des informations générales et une spéculation très éclairée. Il existe de bonnes raisons de croire (sur rien de moins que la base d’une analyse du FBI) que certains des logiciels malveillants et techniques utilisés remontent à 2011 au moins. Les pirates ont exploité une lacune dans la conformité PCI du système informatique du détaillant (techniquement conforme au moment du dernier audit), à un niveau où la bande magnétique de la carte de crédit ou piste de données n’était pas encore chiffrée : sur le terminal même du PDV. L’avis du FBI n’offre aucune nouvelle encourageante : selon lui, ce type d’attaque ne fera qu’augmenter dans un avenir proche.
Cependant, tous ceux qui ont déjà vu un film classique de cambriolage physique savent que les criminels font souvent une gaffe, non pas en entrant dans la chambre forte, mais quand il leur faut rejoindre leur cachette avec l’or, les bijoux, les œuvres d’art ou les espèces, sans se faire prendre ni laisser d’indice. Si un logiciel de surveillance d’accès aux fichiers avait été mis en place, cela aurait été très probablement le cas lors de cet incident particulier.
À la fin du mois de janvier, la SecureWorks Counter Threat Unit de Dell a publié son propre rapport.
Celui-ci est principalement issu de son expérience des codes malveillants de PDV similaires et du peu d’information publique disponible à propos de cet incident. Ceux qui sont plus orientés vers le code peuvent parcourir le rapport pour y trouver un descriptif du RAM scraper utilisé pour aspirer les numéros de carte de crédit. Les scrapers sont considérés comme le fond du panier des APT en raison de leur simplicité, mais les experts estiment que cette variante est plus avancée.
Un article paru dans le New York Times explique comment les cybervoleurs ont commis l’effraction, au moyen d’un « accès distant accordé par le logiciel de climatisation du détaillant ». L’article du Times poursuit : « La cible n’a pas indiqué si ses fournisseurs sont tenus d’utiliser l’authentification à deux facteurs ». Les attaquants auraient certainement éprouvé beaucoup plus de difficultés à entrer si l’authentification à deux facteurs avait déjà été mise en place. Nous en entendrons peut-être plus à ce sujet au cours des prochains jours.
Une fois à l’intérieur, les cambrioleurs ont soit intégré leur RAM scraper sur des terminaux PDV individuels, soit sur un serveur central vers lequel les transactions de carte de crédit de nombreux terminaux étaient acheminées.
Le scraper a pu obtenir l’accès au moyen d’un nom d’utilisateur et d’un mot de passe par défaut de niveau administrateur appartenant à un autre logiciel que les pirates savaient installé dans l’environnement du détaillant.
Voici venu le bon moment pour souligner que vous devez toujours modifier ces paramètres par défaut lors de l’installation d’un progiciel. Telle que nous comprenons la situation, cette attaque de PDV aurait été bloquée si cette étape essentielle avait été suivie (erreur n° 2).

Un RAM scraper de ce type a probablement et tout simplement recueilli une liste de processus en cours d’exécution sur le terminal de PDV ou le serveur de PDV. Puis il a utilisé un appel système Windows (CreateToolhelp32Snapshot) pour regarder dans le segment de mémoire de chaque processus. Le scraper a alors effectué une recherche en mode texte d’informations de piste brutes. La bande de malfaiteurs disposait de détails techniques à ce sujet. Après avoir trouvé un modèle correspondant, le logiciel malveillant a chiffré les numéros et les a stockés pour transfert ultérieur. En fait, il ne s’agit encore que de piratage de base.
Ainsi, les voleurs sont entrés dans la chambre forte. L’astuce est maintenant de sortir sans être détecté. En fin de compte, des millions de numéros de carte de crédit ont été exfiltrés. Il n’est pas surprenant qu’il y ait encore des incertitudes quant à la manière dont cela a été accompli, peut-être par POST HTTP ou, comme certains le suggèrent, par paquets DNS sortants. En d’autres termes, une application de surveillance de sécurité du réseau à la recherche des suspects habituels, à savoir FTP, aurait probablement manqué le coche.
Cependant, pour déplacer latéralement les numéros de carte de crédit du scraper vers l’exfiltrateur, le groupe SecureWorks estime que le RAM scraper les a périodiquement vidés dans un fichier, puis a monté à distance le dossier du fichier vers un autre serveur que l’exfiltrateur avait compromis.

Voici une troisième occasion manquée. Si le détaillant avait disposé d’un logiciel de supervision des fichiers afin de repérer les pics d’activité ou autres comportements atypiques (des millions de numéros de carte de crédit écrits dans des fichiers), les voleurs auraient pu être remarqués très rapidement.
Nous constatons donc ici un modèle familier : une défaillance d’authentification (ou deux), une escalade de privilèges et des contrôles de détection inadéquats, à savoir l’absence d’audit et d’alerte relatifs au système de fichiers. De plus, nous devons nous demander si le système de CVC avait vraiment besoin de se trouver sur le même réseau logique que les systèmes de PDV.
Cette violation (et d’autres qui lui sont similaires) aurait vraiment pu être arrêtée ou rendue beaucoup plus difficile si l’une au moins de ces questions avait été abordée. Mais n’accordez pas trop d’importance aux contrôles préventifs. Nous apprenons qu’il est préférable de présumer que les méchants entreront, ou même de se préparer comme s’ils se trouvaient déjà à l’intérieur.
Un simple changement de perspective, de la surveillance des attaques au niveau du périmètre (aux points d’entrée et de sortie habituels) à l’observation de ce qui se passe à l’intérieur de la place (à savoir des métadonnées des fichiers) ferait toute la différence, en particulier dans le cas de portes dérobées dont vous ne connaissez pas l’existence.

Progiciel / Dell