22/12/2013

TARGET piraté

TARGET was PCI DSS compliant ?La chaine de magasins de discount TARGET (USA) vient d'annoncer qu'elle s'est fait pirater...40 millions de cartes bancaires. Toutes les pistes magnétiques des clients ayant payé en magasin avec leur carte entre le 27 novembre 2013 et le 15 décembre 2013 ont pu être volées par le pirate.

Il s'agit d'un vol des pistes ISO2 / TRACK2, sans le code PIN. Cette piste permet de refaire des cartes facilement utilisables dans tous les commerces où le PIN n'est pas demandé ! Cela va relancer le débat sur l'utilisation de la technologie EMV et du code PIN aux USA...Le CVV2 (celui utilisé pour payer sur Internet) n'a pas été volé, il s'agit bien d'une fuite dans le système de paiement en magasin. 

Il est encore trop top pour connaitre la nature de l'attaque et des données réellement volées, mais les cartes seraient déjà revendues sur les marchés noires en ligne. Quasiment tous les américains vont chez TARGET, cette attaque va donc générer énormément de transactions frauduleuses sur les comptes bancaires de nos voisins outre-atlantique.

Si les investigateurs retrouvent la liste des cartes volées, il sera possible de les blacklister, mais avec 40 millions de consommateurs impactés par un tel blocage, le choix sera difficile.
Sur la question du PCI DSS, TARGET est un marchand, sa conformité est donc managée par ses banques d'acquisition et personnes ne connait leur statut vis-à-vis du PCI DSS. Je ne pense pas personnellement qu'ils étaient certifiés.

Cela va évidemment relancer la polémique sur la question PCI versus Sécurité, mais le problème n'est pas le PCI ici. Tout d'abord, on ne sait pas si TARGET était certifié et par qui. Ensuite, le responsable c'est TARGET pas le standard de sécurité qui serait "trop peu" ou "pas assez cela". C'était à TARGET de maintenir son niveau de sécurité. 

2 commentaires:

  1. Est-ce que Target était certifié PCI DSS ? Qui l'avait certifié ?

    RépondreSupprimer
  2. Contrairement à la rumeur, TARGET s'est fait volé les pistes magnétiques ISO2, qui contiennent le code CVV. Le CVV n'est pas le CVV2 utilisé pour les paiements en ligne, c'est un autre code technique qui n'a rien à voir.

    https://www.consumer.ftc.gov/blog/are-you-affected-recent-target-hack

    RépondreSupprimer