Retour sur l'affaire des numéros de CB volés

Le par  |  14 commentaire(s) Source : Par Olivier Devaux pour Vulnerabilite.com

L’affaire du vol présumé de 40 millions de numéros de cartes bancaires chez CardSystems fait grand bruit dans la presse et dans le monde de la sécurité des systèmes d’information.

L’affaire du vol présumé de 40 millions de numéros de cartes bancaires chez CardSystems fait grand bruit dans la presse et dans le monde de la sécurité des systèmes d’information. Retour sur un « cyber-casse » hors du commun et complément d’informations…


Des informations qui n’avaient pas lieu d’être

John M. Perry, PDG de CardSystems Solutions, a récemment confié au New York Times que « les informations volées étaient stockées à des fins de recherche et d’analyse». Cependant, la légitimité et la légalité de la base de données est véritablement remise en question depuis le début de l’enquête. La société CardSystems Solutions devait uniquement assurer le transit de la base de données et ne devait en aucun cas la stocker. Celle-ci contenait les noms de 40 millions de clients, les numéros de cartes de crédit ainsi que les codes de sécurité mais en aucun cas les adresses des usagers.


70,000 français exposés

La presse se fait l’écho de chiffres tout à fait vertigineux cependant la réalité semble tout autre. Il est certain que 200,000 numéros de cartes, parmi les 40 millions qui étaient à disposition, ont été exportés. En détail, il s’agit de 100,000 numéros Visa, 68,000 Mastercard et 30,000 provenant d’autres organismes. 70,000 numéros appartiendraient à des Français.


Un manquements manifeste aux règles de sécurité

Visa & Mastercard ont conjointement développé un standard en matière de sécurité afin de prévenir la fraude et le piratage de leurs systèmes d’information. Ce standard doit être respecté par tout commerce de gestion de cartes de crédit. D’après Mme Jones, porte-parole de Visa, Cardsystems Solutions a bien été certifié en juin 2004 et tout était aux normes en matière de sécurité. Or, une évaluation « post-incident » conclue que ce n’est plus le cas et les manquement aux règles de sécurité ont coûté très cher à l’entreprise.


Une faille IIS en cause '

Peu d’informations circulent à propos de la ou les failles que le pirate aurait utilisées pour commettre son braquage virtuel. Cependant un récent communiqué de presse émis par la société eEye laisse entrevoir un début de réponse. En effet, la firme américaine vient de déployer en urgence leur produit « SecureIIS » chez CardSystems Solutions. Un serveur Web Microsoft IIS non « patché » serait donc le fautif '
Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #49724
pourquoi obligatoirement non « patché », je dis pas ca pour etre mechant mais ce cyber voleur a tres bien pu decouvrir une nouvelle faille de securite.
Le #49735
bin si la faille est nouvelle, elle est forcément non patché
Le #49739
oui, mais dans l'article, le "non-patché" sous entend que ce serait les administrateurs réseaux de CardSystem qui n'auraient pas fait leur boulot.

Alors que si c'était une nouvelle faille de sécurité, ca serait plus la faute de Windows déjà, et le tort de l'entreprise se limiterait au fait d'avoir stocké des informations qu'elle n'était pas sensé garder.
Le #49740
C'est évident que c'est une nouvelle faille. Ne me faites pas croire que c'est les admin qui ont mal fait leur boulot.
Une entreprise de ce genre engage des informaticiens sérieux.
Le #49744
...et utilisent des systèmes sérieux, non ' Ou alors votre affirmation est sans fondement.
Le #49748
S'ils ne déploient SecureIIS que maintenant, les admins ont mal fait leur boulot. Et utilisaient un système inadapté à la protection d'informations sensibles.

Mais au-delà de la faille informatique, le plus grave est que CardSystems n'aurait JAMAIS dû stocker ces infos sur un système relié au net. Et n'aurait pas dû les stocker du tout : on se demande à quoi leur servent tous ces numéros de CB. "Recherche et analyse", j'y crois pas vraiment.
Le #49762
De toute facon, utiliser IIS comporte toujours un risque.
Le #49767
Pour répondre à Joblo :

en Mai 2004, lorsque le ver SASSER est arrivé, je travaillais pour une grande entreprise de distribution alimentaire avec un service informatique dédié. Toutes les personnes s'interessant un peu à l'informatique savaient que ce ver arriverait et qu'il y avait deja un patch sur Internet...
Et bien, le jour du début prévu de SASSER, toute l'entreprise etait sans informatique...pendant deux jours...
Alors les admins qui connaissent leur boulot
Anonyme
Le #49769
La plus grosse erreur, c'est déja d'avoir mis des informations aussi semsibles sur une becanne qui est accessible par le Net!!!!!! Ca c quant on croit faire des economies en embochant des Admins au rabais............
- "C'est quoi votre experience''' [le recruteur]
- G installé Win 95 au moins 15 fois!!! [le recruté]
- Vous semblez être un vrai spécialiste en Système Windows!!!!![le recruteur]
- Heu... Vi biensur [le recruter]
- 1000,00? par mois ca vous va'[le recruteur]
- 'tain!!! Vi(*)!!![le recruter]
- Vous commencez demain (**)[le recruteur]
.........
(*)mince, j'aurais jamais cru qu'avec mon CAP boulanger je......pigeons, va!! :-D
(**)Le pigeons va! avec lui on va faire des vaches d'economies...... B-) et en cas de problème c de toute facons son chef qui va prendre :-D
.
.
.
.

Ca se passe comme ca, plus qu'on ne le croit :-S!!!
Et les grosse boite de dévellopement de Système c se qu'ils font miroiter : notre systeme est tellement simple a administrer que n'importe quel debutant peut le faire sans connaissance particuliaire...................
Le #49772
mais pourquoi les gens donnent leur CB sur le net ....
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]