Analyse : retour sur les 130 millions de cartes volées ou la sécurité des applications en question

Analyste pour le cabinet Duquesne Research, Donald Callahan revient sur l’affaire Gonzales et le vol des 130 millions de numéros de cartes de crédits. Il décortique les méthodes, les risques, l’utilité des certifications et audit et, surtout, la vulnérabilité des applications.

Une société américaine se fait pirater par une méthode connue et 130 millions de numéros de cartes de paiement lui sont dérobés. Cette société était pourtant régulièrement auditée et déclarée conforme aux normes en vigueur. Que faut-il en penser? Quelles leçons en tirer?

Les faits

En août 2009, Alberto Gonzales et deux hackers russes non-identifiés ont été mis en accusation aux Etats Unis pour le vol informatique de 130 millions de numéros de cartes de paiement de plusieurs sociétés. La très grande majorité des cartes volées était gérée par Heartland Payment Systems, un grand spécialiste du traitement des paiements par cartes pour compte de tiers avec 11 millions de transactions par jour venant de plus de 250 000 sites clients. Gonzales et ses comparses se sont appuyés essentiellement sur la vieille technique « Injection SQL », bien connue des responsable de sécurité des systèmes d’information (RSSI) et de tout hacker même débutant. Pourtant, Heartland a été régulièrement certifié conforme à la norme PCI DSS, standard de référence en matière de sécurisation du traitement des cartes.

L’analyse de Duquesne Research

Si les grandes lignes de ce crime spectaculaire ont été rendues publiques, beaucoup de détails ne sont pas encore connus. Néanmoins, cette affaire appelle d’ores et déjà quelques observations.

D’abord, elle confirme avec éclat la montée en puissance de la cyber-criminalité organisée et l’importance des enjeux. (La même remarque vaut aussi pour la cyber-guerre étatique et non-étatique, mais c’est un autre sujet.) Avec l’interconnexion généralisée des ordinateurs et des équipements clients sur Internet (et sur les Intranets), Duquesne Research estime que cette tendance va continuer… en s’amplifiant. Dans le cas actuel, Gonzales revendait les données confidentielles des cartes à des bandes organisées, à un prix variant de 3 à 10 dollars la carte. Il s’agissait donc d’une activité hautement lucrative. Les pertes directes pour Heartland sont chiffrées actuellement à plus de 20 millions de dollars mais l’addition finale risque d’être bien plus salée. Dans un cas précédent TJX, la perte finale s’est établie à environ 200 millions de dollars, compte tenu des lois américaines de protection du consommateur. Ironie du sort, le coupable était ce même Gonzales… qui s’était reconverti par la suite en consultant.

Mais au-delà des pertes directes, les vrais dégâts se situent au niveau de la réputation de l’entreprise. Le fond de commerce d’une société comme Heartland est la confiance de ses clients. En fait, pour toute entreprise ou organisation qui gère des données confidentielles de clients, le « risque réputationnel » constitue un enjeu énorme.

Notre deuxième observation concerne la confusion persistante – amplement mise en évidence par les discussions autour de cette affaire – entre la conformité à une norme de sécurité et une véritable sécurité effective. Conformité ne veut pas automatiquement dire sécurité. Ce point est très important et mérite l’attention. Des standards comme PCI DSS ou encore ISO2700x sont très utiles voire indispensables, car ils indiquent l’état de l’art des moyens organisationnels et techniques à mettre en oeuvre pour se protéger. Mais d’une part ils ne peuvent jamais tout prévoir, d’autant que les menaces peuvent évoluer plus rapidement que les mises à jour des normes, d’autre part ils s’apparentent à une obligation de moyens et non de résultat. Pour passer de l’une à l’autre, il faut une surveillance continue par la société.

Pour illustrer simplement : si la bonne pratique standard me dit de fermer mes portes à clé je le fais et je le vérifie tous les jours ! L’audit qui passe tous les six mois ne peut tenir ce rôle de vérificateur de premier niveau. L’audit testera sur un échantillon le fait que mes portes sont fermées et que je le vérifie. L’absence de vérification par l’entreprise ne saurait être compensée par un audit !

Cet aspect est très important car Heartland était régulièrement certifié « conforme » à PCI DSS (ce qui exige d’ailleurs des mesures contre l’Injection SQL) et pourtant… Dans la polémique qui a suivi la découverte de la fraude, Visa a reproché à Heartland non pas tellement ces petits manquements au standard mais plutôt son manque de vigilance. Encore une fois, nous ne disposons pas de toutes les informations. Mais de toute façon, en matière de sécurité des informations, aucun audit ponctuel de conformité ne peut se substituer à une surveillance permanente, forcément sous la responsabilité du management.