Les pirates ont attaqué les détaillants à plusieurs niveaux

Une bande de voleurs d'identité ciblant les détaillants américains a utilisé des attaques sophistiquées et multiformes pour voler plus de 40 millions de numéros de cartes de crédit et de débit de TJX, OfficeMax, Barnes & Noble et d'autres sociétés. Les détaillants et les sociétés de cartes de crédit ont dépensé des dizaines de millions de dollars.

Les membres de la conspiration du vol d'identité ont utilisé des techniques dites de «wardriving» pour trouver des trous dans les réseaux sans fil exploités par les détaillants. Une fois à l'intérieur des réseaux, les voleurs ont repéré et volé les informations de transaction de carte de crédit stockées sur les réseaux des détaillants, selon les documents judiciaires.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows] ils ont utilisé des attaques Internet, y compris des attaques par injection SQL, pour accéder aux bases de données de cartes de crédit.

Le groupe de vol d'identité stockait les numéros de cartes de crédit capturés. sur des serveurs compromis aux États-Unis, en Lettonie et en Ukraine, selon des documents judiciaires. Les voleurs ont ensuite crypté les numéros de carte de crédit sur ces serveurs, selon le document d'accusation d'Albert Gonzalez, le chef présumé du système de vol d'identité.

Gonzalez, de Miami, a été inculpé mardi dans la cour du district du Massachusetts. sur des accusations de fraude informatique, de fraude électronique, de fraude à l'accès, de vol d'identité aggravé et de complot. Dix autres accusés ont été inculpés ou accusés de crimes dans ce qui est considéré comme la plus grande enquête sur le vol d'identité et le piratage informatique dans l'histoire du département américain de la Justice, a annoncé mardi le DOJ. en tant qu'informateur pour les services secrets américains, alors qu'il serait impliqué dans le projet, fait la lumière sur l'opération de vol d'identité. Les voleurs ont pu encoder des informations de carte de crédit sur des cartes vierges qui ont été utilisées pour obtenir des dizaines de milliers de dollars de guichets automatiques en une seule visite, dit le document de la cour.

Parmi les attaques détaillées dans le document:

- - Vers 2003, Gonzalez et d'autres ont trouvé un point d'accès sans fil non crypté dans un magasin de gros de BJ. BJ a signalé une violation de ses réseaux informatiques début 2004.

- En 2004, d'autres membres du réseau de vol d'identité ont compromis un point d'accès sans fil OfficeMax à Miami, et ils ont été en mesure de voler des données de carte de crédit. Après que les responsables de l'application de la loi en 2006 aient identifié OfficeMax comme victime d'une violation de données, la société a déclaré avoir engagé un vérificateur externe pour mener une enquête et n'a trouvé aucune preuve d'une atteinte à la sécurité. Un porte-parole d'OfficeMax n'a pas immédiatement retourné un message demandant un commentaire.

- En juillet, septembre et novembre 2005, Christopher Scott, un membre présumé du réseau d'identification, a compromis deux points d'accès sans fil exploités par TJX à Miami. Scott a utilisé son accès pour transmettre à plusieurs reprises des commandes informatiques aux serveurs de TJX stockant des informations de carte de crédit à Framingham, Massachusetts. TJX, qui possède également TJ Maxx, HomeGoods et d'autres points de vente, a signalé des violations de données en janvier 2007.

Des experts en cybersécurité ont déclaré que les entreprises soucieuses d'être victimes peuvent tirer des leçons des attaques. Les entreprises qui stockent des informations personnelles doivent adopter une approche globale de la sécurité des données, y compris le cryptage des bases de données de cartes de crédit, les notifications de comportements suspects dans leurs réseaux et les limitations d'accès aux données. rapidement et assurez-vous qu'ils savaient que les données sensibles sont situées sur leurs réseaux, a ajouté Ted Julian, vice-président de la stratégie et du marketing pour la sécurité des applications de sécurité informatique fournisseur. De nombreuses entreprises ne savent pas où toutes leurs données sensibles sont stockées, en raison du roulement des travailleurs informatiques et d'autres facteurs, at-il dit.

Les entreprises doivent également analyser leurs risques et adopter une approche ciblée pour résoudre les problèmes, a déclaré Sam Curry, vice-président de la gestion des produits chez RSA.

Les attaques ont changé ces dernières années, avec des campagnes ciblées et mieux organisées. "Les hackers sont beaucoup plus concentrés, ils essaieront 38 portes, ils essaieront 100 portes", a-t-il dit. «Dès qu'ils trouvent celui qui est déverrouillé, ils sont en route vers la base de données, mais je ne sais pas que beaucoup de personnes [TI] obtiennent 10 millions de dollars dans leur budget pour déployer un tas de nouvelles mesures de sécurité. "Les entreprises devraient également vérifier si les données qu'elles stockent sont nécessaires et pendant combien de temps elles conservent les données", a déclaré Graham Cluley, consultant technologique senior chez Sophos, un autre fournisseur de cybersécurité.

Les entreprises se sont trop longtemps concentrées sur les défenses périmétriques sur la protection des données à l'intérieur de leurs réseaux, a déclaré Curry. Les détaillants et autres entreprises doivent «se réveiller et prendre ces menaces au sérieux», a déclaré Curry. "Rendre le coût pour les méchants trop haut pour eux de le faire."

Les actes d'accusation annoncés mardi pourraient sensibiliser sur la cybersécurité, a ajouté Curry. Et certaines condamnations très médiatisées pourraient avoir un effet dissuasif sur les criminels.

Mais Curry et Cluley ont refusé de pointer du doigt les détaillants dont les systèmes étaient compromis. Tandis que les clients des entreprises ont besoin de faire pression sur eux pour améliorer les pratiques de sécurité, les entreprises sont également des victimes, a déclaré Cluley. <

"Il serait erroné de battre trop les entreprises", a déclaré Cluley. «Les entreprises concurrentes ne devraient pas se sentir trop bêtes, car combien d'entre elles peuvent mettre la main sur leur cœur et dire:« Cela ne pourrait jamais arriver au sein de notre organisation? »

La Federal Trade Commission des États-Unis a cependant porté plainte contre TJX, BJ's Wholesale et DSW, une chaîne de magasins de chaussures ciblée par le réseau d'ID qui a signalé une violation de données en mars 2005. DSW rapporte que plus de 1,4 million de numéros de cartes de crédit ont été compromis et 6,5 millions à 9,5 millions

À la mi-2005, BJ avait déclaré des réclamations en souffrance de 13 millions de dollars liées à la violation de données. Environ 455.000 numéros de carte de crédit ont été pris dans les violations TJX, selon la FTC.

La FTC a allégué que les trois détaillants n'ont pas pris des mesures de sécurité appropriées pour se protéger contre les attaques.

La FTC a annoncé un règlement avec BJ dans Juin 2005 obligeant l'entreprise à mettre en œuvre un programme complet de sécurité de l'information et à obtenir des vérifications par un tiers professionnel de la sécurité indépendant tous les deux ans pendant 20 ans. L'agence a annoncé des règlements similaires avec DSW en décembre 2005 et TJX en mars 2009.

La FTC n'a pas porté plainte contre six autres entreprises identifiées comme victimes de violation de données par le DOJ. Ces entreprises sont Dave et Buster, OfficeMax, Barnes & Noble, Boston Market, Sports Authority et Forever 21. Un fonctionnaire de la FTC a déclaré qu'elle ne pouvait pas commenter sur les plaintes possibles contre ces entreprises parce que la FTC ne commente pas les enquêtes en cours.