American Express, Mastercard, Visa veulent décourager les pirates

Les scandales ne manquent pas : LexisNexis, Bank of America? Le vol de données bancaires sur le web entache l’image des cartes de crédit, et leur coûte cher. C’est pourquoi Visa, Mastercard et American Express se sont associés afin d’imposer des conditions de sécurité draconiennes aux commerçants ou à leurs hébergeurs.

Amendes et retrait de licence pendent donc au nez de ceux qui ne répondront pas aux exigences ou «vendor compliance» (mise en conformité) avant le 30 juin 2005. Le programme prévoit un engagement formel des commerçants à se plier à un ensemble de règles de sécurité, et, surtout, à un audit de leur système d’information tous les trois mois. Une quarantaine de prestataires sont aujourd’hui agréés pour effectuer ces contrôles. L’un d’entre eux, Qualysguard, spécialiste de la sécurité des systèmes d’information, propose une solution automatisée basée sur une technologie propriétaire. L’outil repère les vulnérabilités, grâce à un système de ‘scans’ prédéfinis en fonction des spécifications de Mastercard. «Un serveur qui présente des failles, un pare-feu mal configuré, des routeurs mal protégés, ou certains applicatifs ainsi que les bases de données représentent autant de vulnérabilités que les ‘hackers’ savent bien exploiter» explique Philippe Courtot, p-dg de l’éditeur. Une fois les failles repérées, l’outil les corrige et établit des rapports de conformité. On retiendra que la base des vulnérabilités est constamment actualisée. «En réalité, 90% de nos clients vont bien au delà des exigences de Vendor compliance. Ils effectuent déjà ce contrôle au moins toutes les deux semaines» explique cet expert ès sécurité. Qualys Mastercard SDP est activé via n’importe quel navigateur Web. Une procédure vraiment simple, insiste Philippe Courtot. Mais réalisme d’abord: un service technique est toutefois prévu pour accompagner les clients.