Fuite de données : Global Payments impacté par une faille de sécurité
- Visa, MasterCard et Discover alertent les banques de la possible compromission de plus de 10 millions de numéros de cartes (ce nombre reste néanmoins incertain) après une faille de sécurité de grande envergure entre le 21 janvier au 25 février 2012 relevée chez un processeur américain. Dans un premier temps, aucun nom n’avait été mentionné par les réseaux, néanmoins, Global Payments serait aujourd’hui plus directement concerné. Ce dernier a confirmé par voie de presse avoir relevé par ses propres moyens un accès non autorisé à son système de traitement début mars : le doute subsiste donc encore.
- Selon les deux principaux réseaux, les données récupérées peuvent servir à la production de cartes contrefaites. MasterCard a confirmé avoir informé les autorités compétentes. Outre les vérifications conduites par les banques, une enquête officielle est en cours.
- Selon Avivah Litan, VP et analyste chez Gartner, cette faille impliquerait une société newyorkaise de taxi et stationnement. Par ailleurs, Krebs on Security explique qu’elle pourrait être liée à un gang dominicain basé à New York City et affecterait principalement les cartes commerciales.
Source : The New York Times
- Les réseaux internationaux insistent pour leur part sur l’absence de brèche dans leurs systèmes respectifs. Visa rappelle aussi la disponibilité de son dispositif de protection « zero liability ». Ce même acteur rappelle que tout incident de ce type relevé chez un processeur est susceptible de compromettre les données cartes de l’ensemble des principaux systèmes.
- Très rapidement, cette révélation a impacté les stocks de Global Payments (- 9 %) avant que les ventes ne soient interrompues le vendredi 30 mars.
- Plusieurs processeurs, dont Heartland, VeriFone Systems ou bien encore First Data ont communiqué en conséquence expliquant qu’ils n’étaient pas responsables de cette affaire.
- Ces incidents ne sont pas sans évoquer les cas médiatisés précédemment : attaque contre Citigroup en juin 2011 portant sur 200 000 numéros de carte en Amérique du Nord, attaque fin 2008 contre Heartland (révélée début 2009) et suites légales liées, cas de TJX Companies en 2007 (voir l’Observatoire de mai 2010).