Les données de plus de 110 millions de cartes ont été volées au numéro deux de la distribution américaine, Target. - REUTERS
Jusqu’à 110 millions de cartes bancaires viennent d’être piratées aux Etats-Unis. Ce chiffre représente le tiers de la population américaine, ce qui en fait certainement le plus gros vol de données jamais intervenu dans ce pays. Leurs propriétaires ont pour point commun d’avoir fait leurs courses chez Target, le numéro deux de la distribution américaine, pendant la première quinzaine de décembre. Les fraudes n’ont pas eu lieu sur Internet, mais dans les magasins eux-mêmes, au moment où les clients payaient en caisse.
Les pirates informatiques sont soupçonnés d’avoir utilisé des logiciels malveillants, permettant d’intercepter les données cryptées au moment où elles transitent – décryptées – par la mémoire vive d’un ordinateur. Dans certains cas, les hackers ont intercepté les mails, adresses postales et numéros de téléphone des clients. Dans d’autres cas, ils ont même mis la main sur leur code PIN : il leur suffira donc de dupliquer lesdites cartes bancaires pour retirer de l’argent dans les guichets automatiques.
La fraude est inédite par son ampleur, mais pas par sa nature : le piratage de cartes bancaires est devenu monnaie courante, au point de représenter l’équivalent de 11 milliards de dollars chaque année aux Etats-Unis. Les magasins de luxe Neiman Marcus viennent d’annoncer qu’ils avaient été eux aussi victimes d’une attaque informatique ces dernières semaines. Des incursions plus modestes auraient eu lieu chez trois autres distributeurs américains, selon des sources judiciaires citées par l’agence Reuters. Les cerveaux de ces piratages seraient originaires d’Europe de l’Est, une région connue pour orchestrer les plus grandes cyberattaques aujourd’hui.
Les Etats-Unis représentent une cible de choix car les cartes bancaires y sont très archaïques. Les informations qu’elles contiennent sont stockées sur une piste magnétique à l’arrière des cartes, et non pas sur les fameuses puces que l’on connaît en France (lire ci-dessous). Faciles à dupliquer, ces pistes magnétiques utilisent la même technologie que les cassettes vidéo. Les codes PIN sont peu fréquents : il suffit de signer pour finaliser sa commande, ce qui est là encore propice à la fraude : « Nous utilisons des cartes du XXe siècle qui ne peuvent pas lutter contre les pirates informatiques du XXIe siècle », explique Mallory Duncan, expert de la Fédération nationale du commerce.
Les commerçants ne sont pas forcément prêts à payer plus pour moderniser leurs terminaux : de fait, les fraudes ne représentent qu’une petite part de leur chiffre d’affaires (0,05%). Les réseaux de cartes bancaires (Visa, Mastercard, etc) ont néanmoins prévu de remplacer les pistes magnétiques par des puces à compter de la fin 2015. Mais il n’est pas certain que les codes PIN remplacent les signatures. « Tout le monde sait pourtant que ces dernières constituent un outil d’identification totalement inutile », regrette Mallory Duncan.
Lesechos.fr
Les pirates informatiques sont soupçonnés d’avoir utilisé des logiciels malveillants, permettant d’intercepter les données cryptées au moment où elles transitent – décryptées – par la mémoire vive d’un ordinateur. Dans certains cas, les hackers ont intercepté les mails, adresses postales et numéros de téléphone des clients. Dans d’autres cas, ils ont même mis la main sur leur code PIN : il leur suffira donc de dupliquer lesdites cartes bancaires pour retirer de l’argent dans les guichets automatiques.
Les clients remboursés
Ces données se revendent sur le marché noir, via Internet, et peuvent se monnayer jusqu’à 1.000 dollars par carte, selon la richesse des comptes qui se trouvent derrière. Les clients ne perdent pas un centime dans l’affaire : les banques ont l’obligation de rembourser tous les montants qui leur sont dérobés. La fraude pénalise donc avant tout Target (lire ci-dessous), les banques et leurs assurances, sans que l’on sache trop comment ils partageront la facture.La fraude est inédite par son ampleur, mais pas par sa nature : le piratage de cartes bancaires est devenu monnaie courante, au point de représenter l’équivalent de 11 milliards de dollars chaque année aux Etats-Unis. Les magasins de luxe Neiman Marcus viennent d’annoncer qu’ils avaient été eux aussi victimes d’une attaque informatique ces dernières semaines. Des incursions plus modestes auraient eu lieu chez trois autres distributeurs américains, selon des sources judiciaires citées par l’agence Reuters. Les cerveaux de ces piratages seraient originaires d’Europe de l’Est, une région connue pour orchestrer les plus grandes cyberattaques aujourd’hui.
Les Etats-Unis représentent une cible de choix car les cartes bancaires y sont très archaïques. Les informations qu’elles contiennent sont stockées sur une piste magnétique à l’arrière des cartes, et non pas sur les fameuses puces que l’on connaît en France (lire ci-dessous). Faciles à dupliquer, ces pistes magnétiques utilisent la même technologie que les cassettes vidéo. Les codes PIN sont peu fréquents : il suffit de signer pour finaliser sa commande, ce qui est là encore propice à la fraude : « Nous utilisons des cartes du XXe siècle qui ne peuvent pas lutter contre les pirates informatiques du XXIe siècle », explique Mallory Duncan, expert de la Fédération nationale du commerce.
Les commerçants ne sont pas forcément prêts à payer plus pour moderniser leurs terminaux : de fait, les fraudes ne représentent qu’une petite part de leur chiffre d’affaires (0,05%). Les réseaux de cartes bancaires (Visa, Mastercard, etc) ont néanmoins prévu de remplacer les pistes magnétiques par des puces à compter de la fin 2015. Mais il n’est pas certain que les codes PIN remplacent les signatures. « Tout le monde sait pourtant que ces dernières constituent un outil d’identification totalement inutile », regrette Mallory Duncan.
Lesechos.fr