Gregg Steinhafel, CEO du groupe de distribution américain Target a révélé dans une interview à la chaîne de télévision américaine CNBC que les caisses enregistreuses avaient été infectés par des logiciels malveillants, confirmant les soupçons d'experts en sécurité après la violation massive de données annoncée mi-décembre. Interrogé sur la cause de cette fuite de données, le dirigeant, a répondu : « Nous ne pouvons pas encore évaluer l'ampleur de la fuite, mais nous avons établi avec certitude que des malwares avaient été installés sur nos terminaux de paiement ».

Dans un premier temps, Target avait déclaré que près de 40 millions de comptes bancaires étaient peut-être concernés par le piratage. Et vendredi, le revendeur a révélé que d'autres informations comme les noms, courriels, adresses postales et numéros de téléphone de 70 autres millions de personnes avaient également été volées, soit un total de 110 millions de données personnelles et sensibles.

Siphonner la mémoire vive

Les programmes malveillants visant les caisses sont communément appelés RAM scrapers (racleurs de RAM), car ils vont chercher les données de transaction dans la mémoire vive du terminal pour les voler. Ces équipements sont des ordinateurs auxquels on a relié des périphériques spécifiques comme des lecteurs de cartes et des claviers. La plupart de ces matériels tournent avec une version Embedded de Windows et utilisent des logiciels spéciaux. Chaque fois que les clients passent leur carte dans un terminal pour autoriser une transaction, les données codées présentes sur la bande magnétique de la carte de crédit - comme le numéro de la carte, le nom du titulaire, la date d'expiration - sont transmises avec la demande de transaction à l'application chargée de traiter le paiement et au fournisseur de service de traitement des paiements auquel est abonnée l'entreprise.

Ces informations sont bien cryptées à la sortie du terminal et quand elles circulent dans le réseau de l'entreprise. Mais, à un moment donné elles sont stockées en clair dans la RAM du système. C'est alors qu'elles peuvent être lues par un malware installé sur la machine. C'est ce qui s'est, semble-t-il, passé dans le cas de Target.

Des attaques connues

Les attaques contre les terminaux de vente ne sont pas nouvelles. Mais leur fréquence a augmenté l'an dernier, de même que l'intérêt des cybercriminels pour les malwares du genre RAM scrapers. Début décembre, deux sociétés de sécurité, tout à fait indépendante l'une de l'autre, ont fait état de nouvelles campagnes d'attaques de malware ciblant ces équipements. Target a déclaré que le vol d'informations dans ses systèmes avait eu lieu entre le 27 novembre et le 15 décembre.

L'année dernière, en avril et en août, Visa avait publié deux alertes de sécurité mettant en garde les vendeurs contre des attaques de malware sur les terminaux de vente. « Depuis janvier 2013, nous avons constaté une augmentation des intrusions dans les réseaux des détaillants », avait déclaré Visa dans son avis de sécurité du mois d'août. « Une fois qu'il s'est introduit dans le réseau du revendeur, le pirate installe l'analyseur syntaxique malveillant sur le système Windows qui fait tourner les caisses enregistreuses. Le malware peut-être installé soit sur les serveurs Back-of-the-House (BOH) soit sur chaque caisse pour extraire les données inscrites sur la bande magnétique et visible en clair dans la mémoire vive (RAM) ».

Pour s'introduire dans les caisses et les réseaux des revendeurs, les pirates peuvent exploiter des failles de sécurité. Mais une méthode courante consiste à voler à distance par force brute des identifiants de niveau administrateur. En effet, de nombreux revendeurs ont recours à des entreprises tierces pour leur support technique. La plupart du temps, ces sociétés de maintenance ont la possibilité de se connecter à distance à leurs réseaux et utilisent parfois des identifiants faciles à deviner.

Des moyens de se protéger dont le chiffrement de bout en bout

Dans son avis d'alerte, Visa a recommandé aux entreprises de mieux sécuriser aussi bien les réseaux des revendeurs que les terminaux contre les attaques de malware. « Nous recommandons l'usage d'une authentification à deux facteurs pour accéder aux réseaux de traitement des paiements », a déclaré l'émetteur international de cartes de crédit. « Même si vous utilisez un réseau privé virtuel (VPN), il est important de mettre en oeuvre une authentification à 2 facteurs. Elle permet de mieux résister aux malwares enregistreurs de frappe ou voleurs de mots de passe ».

Une autre mesure qui pourrait empêcher les attaques par raclage de RAM serait d'instaurer un cryptage matériel de bout-en-bout, ou point à point. Cela permettrait de garantir que les données inscrites sur la carte de paiement ne sont jamais exposées en clair tout au long du processus. Mais, la mise en oeuvre de cette technologie pourrait impliquer l'achat et le déploiement de nouvelles caisses et de lecteurs de cartes, un investissement qui peut s'avérer très coûteux pour un gros distributeur.

En récupérant les informations inscrites sur la bande magnétique d'une carte bancaire - celles inscrites sur la piste 1 et celles sur la piste 2 - les cybercriminels peuvent tout à fait cloner la carte. Mais, ils ont toujours besoin du code PIN pour retirer de l'argent dans un distributeur automatique ou effectuer des transactions frauduleuses. Selon Target, dans son cas, le code PIN était crypté sur les claviers avec l'algorithme standard Triple Data Encryption (Triple-DES ou 3DES), couramment utilisé dans le secteur des systèmes de paiement.