Sécurité : piratés, les magasins Target font face à une kyrielle de procès

Ariane Beky,

La chaîne américaine de magasins Target et la firme de sécurité informatique Trustwave sont poursuivis en justice par Trustmark et Green Bank. Les banques accusent de négligence le distributeur frappé, en décembre 2013, par une attaque informatique qui a permis d’exfiltrer plus de 40 millions de numéros de cartes de crédit. Au total, le distributeur fait déjà face à une centaine de procès de ce type !

L’attaque informatique qui a ciblé le distributeur américain Target lors des fêtes de fin d’année 2013 risque de lui coûter très cher. Deux banques régionales, Trustmark National Bank et Green Bank, ont déposé plainte contre la chaîne de magasins  et l’un de ses prestataires, Trustwave Holdings. Tous deux sont accusés de négligence, rapporte le journal American Banker.

5 millions de dollars de dommages

D’après les plaignants, Target n’a pas pris, en amont, les mesures de base qui s’imposaient, comme, par exemple, désolidariser sa plateforme de paiement du reste de son réseau. Trustwave, de son côté, aurait ignoré ou volontairement tardé à détecter la faille qui a facilité le travail des hackers. Ces derniers sont parvenus à dérober, trois semaines durant en décembre, plus de 40 millions de numéros de cartes de crédit et de débit ainsi que plus de 70 millions de données personnelles provenant des clients de la chaîne de magasins.

Les banques veulent obtenir environ 5 millions de dollars de dommages et intérêts. Target étant le second distributeur aux États-Unis derrière le leader mondial, Wal-Mart, près d’un tiers de la population américaine est concernée. Parmi les victimes potentielles du piratage massif se trouvent des clients et des membres du personnel des deux banques. Elles ont donc décidé d’attaquer le groupe de distribution en justice, comme d’autres avant elles. Depuis décembre, près des 100 actions en justice auraient été ouvertes contre Target. La plainte déposée le 24 mars auprès d’un tribunal de Chicago par Trustmark et Green Bank est la dernière en date.

Des alertes restées lettre morte

Les banques estiment qu’elles devront débourser des sommes colossales pour émettre de nouvelles cartes, alerter leurs clients et les rembourser des opérations frauduleuses. Les pertes totales pourraient atteindre 18 milliards de dollars, d’après les plaignants. Reste à savoir comment la justice américaine accueillera les plaintes déposés contre Target et quel montant de dommages elle accordera. Les analystes estiment que l’ensemble de l’affaire, dommages y compris, pourrait se traduire pour des coûts se chiffrant en milliards de dollars pour Target. Au quatrième trimestre de son exercice fiscal (clos le 1er février), le distributeur a déjà dépensé 61 millions de dollars pour faire face à cette crise majeure.

Target est toutefois loin d’être tiré d’affaire. Une récente enquête de BusinessWeek révèle que les équipes du distributeur situées à Bangalore, exploitant une solution de détection de malware fournie par FireEye, ont recueilli et transmis des alertes au centre opérationnel de sécurité de la firme, à Minneapolis. Alertes correspondant à l’introduction du malware exploité par les pirates pour soutirer des données sur le réseau de Target. Inexplicablement, personne ne semble avoir tenu compte de ces avertissements

En complément :

Piratée, la DSI de Target démissionne