22/01/2014

Le piratage de TARGET par un malware (suite)

D'après plusieurs sources, la méthode utilisée par le pirate contre la chaine de magasin américaine TARGET serait un malware modifié sur la base du malware BlackPOS.

Ce type de malware s'installe sur les serveurs monétiques (POS) sous Windows et les caisses enregistreuses sous Windows pour voler les données de cartes en mémoire.

Ainsi, même si le logiciel est conforme et qu'il n'écrit donc pas les données de carte dans un fichier ou en base en clair, le malware peut les voler car il les dump en mémoire.

Cela explique comment les pirates ont obtenu l'intégralité des pistes TRACK2/ISO2 : ils les lisaient directement en mémoire pendant le traitement.

Dans le cadre de la conformité PCI-DSS, avec un malware home-made, l'exigence PCI DSS 5 sur les antivirus ne protège pas le système car il n'existe pas de signature de ce virus.

Cependant, au moins 2 autres exigences du standard, si elles avaient été en place, auraient protégées TARGET s'ils avaient été compliant :

  • PCI DSS 11.5 : Contrôle d'intégrité : le logiciel de FIM aurait du détecter la présence du malware et alerter les SysAdmins.
  • PCI DSS 1.3.3 : Interdire les connexions sortantes vers Internet : le malware n'aurait pas pu exfiltrer les cartes captées.

La version 3.0 du PCI DSS a d'ailleurs introduit cette notion, à demi-mots, pour contrer ce type d'attaque : 

PCI DSS 6.5 Address common coding vulnerabilities [...] Train developers in secure coding techniques [...] understanding how sensitive data is handled in memory [...] developer training should likewise be updated to address new threats—for example, memory scraping attacks [...]

Aucun commentaire:

Enregistrer un commentaire