Target ciblé
Le géant américain de la distribution fait état d'une fuite de données susceptible d’avoir porté atteinte à près de 40 millions de numéros de cartes de débit et de crédit. Une affaire « historique » qui accompagne le cas de JPMorgan Chase dans les grands titres de la fin d'année.
Selon Target, la compromission aurait eu lieu peu avant Thanksgiving. Elle porterait sur les clients de ses enseignes physiques et n'aurait pas touché ses cyberacheteurs. Parmi les informations potentiellement affectées, les noms des porteurs ainsi que les numéros et dates d'expiration de leurs cartes, autant d'éléments susceptibles de servir à la fabrication de clones et à la réalisation de transactions frauduleuses.
Autre fait marquant, Target ajoute que les codes PIN chiffrés de ces mêmes cartes ont aussi été dérobés.
Une brèche coûteuse. Selon Forrester, Target pourrait avoir à débourser plus de 100 millions de dollars en frais juridiques et réparations. Le distributeur a déjà lancé une campagne d’information à l’intention de ses clients et fait valoir des gestes commerciaux pour restaurer leur confiance.
Une enquête officielle a été ouverte.
Distribution : des attaques récurrentes…Source : Communiqués de presse
Après les attaques contre TJX Companies en 2007 (45 millions de numéros compromis) et l'affaire Heartland en 2009 (près de 130 millions de numéros de cartes exposés), une nouvelle brèche vient mettre à mal le monde de la distribution (voir l'Observatoire de mai 2010).
Sitôt volés, sitôt revendus… Selon le blog spécialisé krebsonSecurity, les numéros ainsi récupérés se monnaieraient déjà par lots d’un million de 20 à 100 dollars par carte.
Target dit avoir fait appel à un prestataire externe pour auditer ses systèmes et prévenir tout risque de récidive. Dans tous les cas, il convient de rappeler que le stockage des pistes, CVx et PIN n’est pas recommandé (source : PCI-DSS, version 3.0 - page 8).