Global Payments, une société américaine de traitement de paiements pour compte de tiers, a annoncé le 30 mars que ses systèmes avaient été pénétrés par des attaques d'origine inconnue. Selon la société, jusqu'à 1,5 millions de numéros de cartes de paiement Visa et Mastercard ont été "exportés".
Ce chiffre peut paraître faible au regard de certaines attaques passées et notamment celle contre Heartland Payment Systems qui en 2007-2008 s’était fait voler plus de 100 millions de numéros de cartes. Néanmoins, cette nouvelle affaire Global Payments met sur le devant de la scène encore une fois la montée en puissance de la cyber-délinquance organisée.
Tout porte à croire que ces numéros de cartes de paiement ont déjà été revendus sur internet (à un prix de gros de 2 à 3 dollars par carte, selon nos sources) à des bandes spécialisées dans d'autres pays qui se chargeront de les exploiter. Ainsi fonctionne tous les jours l'écosystème de la cyber-délinquance.
De toute façon, l'attaque réussie contre Global Payments - un spécialiste des paiements respecté et a priori sérieusement équipé en moyens de défense - illustre la vulnérabilité de tout système d'information à une attaque déterminée et persistante.
Personne n'est à l'abri. Parmi les victimes célèbres de 2011, on peut citer Sony, RSA Security, Lockheed Martin, Epsilon, la NASA, le FBI, Citigroup et bien d'autres. A la décharge de Global Payments, on peut relever que c'est la société elle-même qui a détecté l'intrusion et réussi à mesurer l'étendue des dégâts, ce qui n'est souvent pas le cas.
Cette affaire a soulevé - et à juste titre - une certaine discussion parmi les experts autour de PCI DSS. En effet, Global Payments était certifié conforme à cette norme de sécurité très contraignante, tout comme Heartland Payment Systems. De son coté, Visa s'est empressé d'exclure Global Payments de son registre de partenaires reconnus comme conformes à PCI DSS mais, comme dit le proverbe, c’est un peu tard de fermer l'étable quand le cheval est perdu.
A notre sens, la dimension PCI DSS de cette affaire mérite quelques observations simples.
D’abord et comme chacun sait, la conformité n'implique pas forcément la sécurité. La conformité à une norme de sécurité quelconque met une première barre utile, mais elle n'est pas très haute.
En ce qui concerne PCI DSS plus spécifiquement, personne ne doute de l’intérêt des pare-feu, du chiffrement, d'une bonne gestion des mots de passe et ainsi de suite. Cependant, il est très loin d'être clair que les exigences assez basiques de cette norme - on serait tenté de dire antédiluviennes - soient à la hauteur de la cyberdélinquance sophistiquée d'aujourd'hui.
Enfin, on peut se demander si cette norme ne souffre pas d'un défaut structurel. PCI DSS est un standard qui dicte très précisément ce qu'il faut faire pour être conforme. (En anglais, on dirait c'est un prescriptive standard) Malheureusement, les menaces évoluent toujours plus rapidement que les travaux des instances de normalisation, qui sont souvent en retard d'une guerre.
La comparaison avec la famille ISO 27000 est édifiante. En effet, ISO distingue entre les "bonnes pratiques en sécurité" dont on peut utilement s'inspirer et un "système de management de la sécurité" qui permet au mieux de s'assurer qu'on reste dans un cercle vertueux de conformité, voire d'amélioration permanente, face aux circonstances changeantes.
Au lieu de se demander comme certains si Global Payments était "vraiment conforme" à PCI DSS, il serait peut-être plus utile de réfléchir sur l'évolution de cette norme dans un monde électronique qui devient - hélas ! - de plus en plus dangereux.
Ce chiffre peut paraître faible au regard de certaines attaques passées et notamment celle contre Heartland Payment Systems qui en 2007-2008 s’était fait voler plus de 100 millions de numéros de cartes. Néanmoins, cette nouvelle affaire Global Payments met sur le devant de la scène encore une fois la montée en puissance de la cyber-délinquance organisée.
Tout porte à croire que ces numéros de cartes de paiement ont déjà été revendus sur internet (à un prix de gros de 2 à 3 dollars par carte, selon nos sources) à des bandes spécialisées dans d'autres pays qui se chargeront de les exploiter. Ainsi fonctionne tous les jours l'écosystème de la cyber-délinquance.
De toute façon, l'attaque réussie contre Global Payments - un spécialiste des paiements respecté et a priori sérieusement équipé en moyens de défense - illustre la vulnérabilité de tout système d'information à une attaque déterminée et persistante.
Personne n'est à l'abri. Parmi les victimes célèbres de 2011, on peut citer Sony, RSA Security, Lockheed Martin, Epsilon, la NASA, le FBI, Citigroup et bien d'autres. A la décharge de Global Payments, on peut relever que c'est la société elle-même qui a détecté l'intrusion et réussi à mesurer l'étendue des dégâts, ce qui n'est souvent pas le cas.
Cette affaire a soulevé - et à juste titre - une certaine discussion parmi les experts autour de PCI DSS. En effet, Global Payments était certifié conforme à cette norme de sécurité très contraignante, tout comme Heartland Payment Systems. De son coté, Visa s'est empressé d'exclure Global Payments de son registre de partenaires reconnus comme conformes à PCI DSS mais, comme dit le proverbe, c’est un peu tard de fermer l'étable quand le cheval est perdu.
A notre sens, la dimension PCI DSS de cette affaire mérite quelques observations simples.
D’abord et comme chacun sait, la conformité n'implique pas forcément la sécurité. La conformité à une norme de sécurité quelconque met une première barre utile, mais elle n'est pas très haute.
En ce qui concerne PCI DSS plus spécifiquement, personne ne doute de l’intérêt des pare-feu, du chiffrement, d'une bonne gestion des mots de passe et ainsi de suite. Cependant, il est très loin d'être clair que les exigences assez basiques de cette norme - on serait tenté de dire antédiluviennes - soient à la hauteur de la cyberdélinquance sophistiquée d'aujourd'hui.
Enfin, on peut se demander si cette norme ne souffre pas d'un défaut structurel. PCI DSS est un standard qui dicte très précisément ce qu'il faut faire pour être conforme. (En anglais, on dirait c'est un prescriptive standard) Malheureusement, les menaces évoluent toujours plus rapidement que les travaux des instances de normalisation, qui sont souvent en retard d'une guerre.
La comparaison avec la famille ISO 27000 est édifiante. En effet, ISO distingue entre les "bonnes pratiques en sécurité" dont on peut utilement s'inspirer et un "système de management de la sécurité" qui permet au mieux de s'assurer qu'on reste dans un cercle vertueux de conformité, voire d'amélioration permanente, face aux circonstances changeantes.
Au lieu de se demander comme certains si Global Payments était "vraiment conforme" à PCI DSS, il serait peut-être plus utile de réfléchir sur l'évolution de cette norme dans un monde électronique qui devient - hélas ! - de plus en plus dangereux.
Home
Mail
Print
Zoom +
Zoom -
Share
