L'infâme violation de la sécurité de Target, qui a révélé les informations financières et personnelles de dizaines de millions d'Américains à la fin de l'année dernière, résulte de l'incapacité de la société à maintenir ses opérations de routine et ses fonctions de maintenance sur un réseau distinct des fonctions de paiement critiques, selon des informations de sécurité le chercheur Brian Krebs, qui a signalé la brèche pour la première fois en décembre.
Target, la semaine dernière, a révélé au Wall Street Journal que la violation initiale de son réseau avait été attribuée à des informations de connexion volées à un fournisseur tiers. M. Krebs a maintenant indiqué que le fournisseur en question était Fazio Mechanical Services, une société basée à Sharpsburg, en Pennsylvanie, qui avait passé un contrat avec Target pour la fourniture de services d’installation et de maintenance en réfrigération et CVC. Le président de Fazio, Ross Fazio, a confirmé que les services secrets américains lui avaient rendu visite dans le cadre de l'enquête, mais il n'a encore fait aucune déclaration publique sur l'implication alléguée des identifiants de connexion attribués à ses employés.
Les employés de Fazio ont obtenu un accès à distance au réseau de Target pour surveiller des paramètres tels que la consommation d'énergie et les températures de réfrigération. Mais comme Target aurait échoué à segmenter son réseau, cela signifiait que les pirates informatiques bien informés pourraient utiliser ces mêmes informations d'identification distantes tierces pour accéder aux serveurs de points de vente (PDV) sensibles du détaillant. Les pirates encore inconnus ont profité de cette vulnérabilité pour télécharger des logiciels malveillants sur la majorité des systèmes de point de vente de Target, qui ont ensuite saisi le paiement et les informations personnelles de près de 70 millions de clients ayant effectué leurs achats au magasin entre fin novembre et mi-décembre.
Cette révélation a jeté le doute sur la caractérisation de l'événement par les dirigeants de Target comme un vol informatique sophistiqué et imprévu. Bien que le logiciel malveillant téléchargé soit en réalité assez complexe et que, bien que les employés de Fazio soient tenus pour responsables du vol d’identifiants de connexion, il n’en reste pas moins que l’une ou l’autre de ces conditions aurait été rendue caduque si Target avait suivi les consignes de sécurité et segmenté son réseau pour isoler les serveurs de paiement. des réseaux qui permettent un accès relativement large.
Jody Brazil, fondateur et directeur technique de la société de sécurité FireMon, a expliqué à Computerworld : «Il n'y a rien d'extraordinaire. Target a choisi d'autoriser l'accès de tiers à son réseau, mais n'a pas réussi à sécuriser correctement cet accès. ”
Si d'autres entreprises ne tirent pas les leçons des erreurs de Target, les consommateurs peuvent s'attendre à encore plus d'infractions. Stephen Boyer, CTO et co-fondateur de la société de gestion des risques BitSight, a expliqué: «Dans le monde hyper-réseauté actuel, les entreprises travaillent avec de plus en plus de partenaires commerciaux avec des fonctions telles que la collecte et le traitement des paiements, la fabrication, les technologies de l'information et les ressources humaines. Les pirates informatiques trouvent le point d'entrée le plus faible pour accéder à des informations sensibles, souvent situé dans l'écosystème de la victime. "
Il n’a pas encore été constaté que Target avait violé les normes de sécurité (PCI) du secteur des cartes de paiement (PCI) à la suite de cette violation, mais certains analystes prévoient des problèmes dans l’avenir de la société. Bien que fortement recommandées, les normes PCI n’imposent pas aux entreprises de segmenter leurs réseaux entre les fonctions de paiement et de non-paiement, mais il reste à savoir si l’accès des tiers à Target utilise une authentification à deux facteurs, ce qui est une exigence. Les violations des normes PCI peuvent entraîner de lourdes amendes, et l’analyste de Gartner, Avivah Litan, a expliqué à M. Krebs que la société pourrait être passible d’une amende pouvant aller jusqu’à 420 millions de dollars.
Le gouvernement a également commencé à réagir à la violation. L’administration Obama a recommandé cette semaine l’adoption de lois plus sévères en matière de cybersécurité, prévoyant des sanctions plus sévères pour les contrevenants, ainsi que des obligations fédérales imposant aux entreprises de notifier leurs clients à la suite de violations de la sécurité et de respecter certaines règles minimales en matière de cyber-protection des données.
