Usurpations d’identité et vols de données – quels enseignements en tirer ?

Les intrusions dans les données informatiques dont ont été victimes de grandes enseignes de commerce de détail américaines au beau milieu de la saison d’achat des Fêtes de fin d’année, nous rappellent à une dure réalité : il faut lutter pour pour empêcher les intrusions dans les systèmes informatiques.

Les intrusions dans les données informatiques, largement médiatisées, dont ont été victimes de grandes enseignes de commerce de détail américaines au beau milieu de la saison d’achat des Fêtes de fin d’année, nous rappellent à une dure réalité : établir autour de l’entreprise des sortes de "cyber-douves", dans l’espoir de tenir à distance des assaillants d’un nouveau type, n’est visiblement pas suffisant pour empêcher les intrusions. Ce sont les données elles-mêmes qui doivent être protégées, ajoutant ainsi une couche de sécurité supplémentaire susceptible de décourager la plupart des tentatives visant à monétiser les données subtilisées.
Des voleurs d’identité aux méthodes sophistiquées, et parfaitement organisés, sont aujourd’hui capables de franchir les pare-feux des entreprises les plus vigilantes. Rappelons que même nos agences de sécurité nationales les mieux fortifiées ne sont pas à l’abri d’intrusions malveillantes.
Il n’est donc guère surprenant de constater que ces désagréments majeurs touchent aussi les commerces et les grandes enseignes qui suivent les directives PCI (Payment Card Industry). Il est temps de durcir les règles du jeu, et de sécuriser les données elles-mêmes.
PCI a adopté les concepts de « chiffrement point à point » et de « tokénisation » pour verrouiller les données. Le concept est simple – il s’agit de chiffrer les données avant qu’un logiciel malveillant soit en mesure de les lire. Et ne pas les stocker dans le propre système informatique du commerçant.

Usurpateurs d’identité – comment font-ils ?

Les usurpateurs d’identité et autres voleurs de données personnelles ont trouvé le moyen de contourner ou franchir les pare-feux, par exemple, en volant les identifiants de connexion. Ils utilisent également des malwares qui permettent d’intercepter et de stocker les données du détenteur de la carte, avant de télécharger celles-ci ultérieurement. Le chiffrement des données permet de circonvenir cette méthode. Ce scénario rappelle d’ailleurs l’évolution des procédures de sécurité en matière de liaisons Wi-Fi.
Les données Wi-Fi étaient auparavant transmises en clair. Une légèreté qui a permis aux usurpateurs de les détecter et les enregistrer à leur guise. Les organismes normatifs en charge notamment de ce type de liaisons ont d’abord tenté de combler la brèche ainsi ouverte en chiffrant les données, sans sécuriser les clés de chiffrement qui doivent être échangées pour faciliter la communication (WEP).
Cette brèche a finalement été refermée avec la fournée suivante de normes de sécurité (WPA/2), qui a vu l’adoption d’une solide cryptographie, avec des clés elles-mêmes sécurisées en utilisant des échanges de clés chiffrées.

Chiffrement point-à-point – comment ça marche ?

PCI suit une approche similaire à la sécurisation des données Wi-Fi. PCI recommande d’abord que les données des détenteurs de cartes soit chiffrées à la source – le lecteur de carte lui-même –, avant qu’un logiciel malveillant puisse être capable de les lire. Les données sont ensuite transmises comme d’habitude vers la passerelle ou le processeur de paiement hébergeant une solution P2PE (Point-to-Point Encryption). Cela signifie que la passerelle ou le processeur déchiffre les données avant de les acheminer sur une connexion sécurisée vers les réseaux de cartes (VISA, MasterCard, Discover, AMEX). Comme pour l’analogie avec les liaisons Wi-Fi, PCI insiste sur la nécessité, pour les lecteurs de cartes, d’utiliser un solide chiffrement TDES ou AES (WPA/2 utilise AES). Quant au fournisseur de solutions P2PE (passerelle ou processeur de paiement qui déchiffre les données du détenteur de la carte), il doit gérer les clés de chiffrement, comme c’est le cas aujourd’hui avec les dispositifs de saisie des codes PIN (Pin Entry Devices ou PED).

Standard EMV – une solution au problème ?


Bien qu’offrant une aide non négligeable, le standard EMV ne va pas résoudre entièrement le problème. Les usurpateurs d’identité ciblent les commerçants U.S. parce qu’ils savent pouvoir ensuite monétiser les données volées – en dupliquant les cartes qu’ils utiliseront ensuite dans les boutiques, et en  utilisant les données pour procéder à des achats auprès d’enseignes en ligne – autrement dit, du e-commerce. Le standard EMW permet d’authentifier la carte au point d’interaction, éliminant ainsi la duplication de carte comme source possible de malversation. La facilité de duplication des cartes U.S. incite bien évidemment à cibler plus particulièrement les commerçants d’Amérique du Nord. Dès lors que le standard EMV sera largement implanté aux États-Unis, cette fâcheuse propension devrait disparaître d’elle-même. Pour autant, le standard EMV n’élimine pas la nécessité de remettre les données du détenteur de la carte dans le système de paiement. Sécuriser les données est donc toujours une obligation.

Comment sécuriser les clés de chiffrement ?

PCI émet une autre recommandation importante : les clés de chiffrement doivent être injectées dans un dispositif PCI sécurisé et certifié par un fournisseur de services PCI agréé. Ce fournisseur de services d’injection des clés va les télécharger en toute sécurité depuis le service P2PE. PCI recommande également que les clés fassent l’objet d’une « rotation » annuelle, visant à réduire l’impact d’une brèche si des usurpateurs parviennent toutefois jusqu’aux clés de chiffrement. Une méthode approuvée, jugée plus efficace, consiste à utiliser la gestion de clés DUKPT. Avec cette méthode, le lecteur de carte calcule une clé de chiffrement unique pour chaque transaction de paiement. Dès lors, la rotation annuelle des clés ne s’impose plus.

Etats-Unis / Chiffrement