Anticiper, détecter, réagir

Ces attaques exploitent une diversité de vecteurs tels que: 1. l’intrusion physique;2. la compromission d’acteurs internes disposant de privilèges ou de la chaîne de fournisseurs;3. la compromission physique telle que le remplacement/compromission de dispositifs de saisie d’informations bancaires (faux lecteurs de cartes, lecteurs compromis physiquement etc.);4. l’exploitation d’ouvertures non sécurisées pour des besoins d’administration. L’ensemble de ces vecteurs permettent d’injecter toutes sortes de malware tels que MozartPOS, rawPOS ou dotés de capacité d’exfiltration et de keylogging tels que Backoff POS.Des failles de sécurité persistantes Si en Europe, la technologie Europay Mastercard et Visa (EMV), qui repose sur des cartes à puce, s’est imposée, de nombreuses régions utilisent des cartes bancaires magnétiques contenant des données critiques non chiffrées. Ainsi, lors du passage de la carte dans un système PDV, les données de paiement sont lues et conservées en clair dans la mémoire du terminal. L’absence de chiffrement permet aux attaquants d’extraire facilement les données de la mémoire de l’appareil. Malheureusement, beaucoup de PDV reposent sur des systèmes d’exploitation anciens tels que Windows XP/Embedded. Obsolescents et/ou non pris en charge, ces systèmes présentent un risque pour les données bancaires et personnelles stockées: une faille dans un serveur peut potentiellement donner accès à tous les systèmes contrôlés par le commerçant. Par ailleurs, le développement du paiement mobile et d’une variété de systèmes, terminaux et technologies de paiement (NFC, SE, TSM) ouvre de nouvelles brèches et défis potentiels en sécurité, qui ne sont pas encore accompagnés de normes ni d’outils de sécurité adaptés à l’infrastructure et aux usages des appareils mobiles. Un cheminement d’attaque connu Traditionnellement, l’attaque la plus populaire est le “skimming” qui permet d’installer un lecteur de carte clandestin dans le terminal PDV (distributeur, station-service, etc.) et récupérer les données de la bande magnétique de la carte. Pour y accéder, l’attaquant doit tout d’abord pénétrer dans le réseau du commerçant en injectant un code malveillant ou en installant une “porte dérobée” dans les ordinateurs de la cible. Une fois infiltré, l’attaquant accède aux données de paiement en exploitant une vulnérabilité du système ou bien en volant les informations d’identification d’utilisateurs (keyloggers, extraction des hashs, force brute, etc.). Pour collecter les données, certains attaquants recourent au “sniffing” (écoute réseau) ou interceptent les données de paiement au niveau du système d’exploitation. Cependant, dans la plupart des cas, les attaquants utilisent des malwares PDV dont, notamment, les “RAM scrapers” qui récupèrent les données dans la mémoire des terminaux de paiement. Ces malwares(1) sont vendus pour un prix compris entre 100 et 15?000?dollars sur les marchés souterrains qui proposent également des “crimeware kits” (ex: Citadel et autres variantes du trojan ZeuS) permettant à des attaquants non expérimentés de cibler les données de paiement. Dans de nombreux cas, les données sont ensuite transférées vers un système tiers connu du PDV (serveur HTTP ou FTP) préalablement compromis pour rendre l’attaque plus difficile à détecter. Une stratégie en trois volets Si le respect des bonnes pratiques en matière de sécurité est indispensable, la stratégie sécurité adoptée doit reposer sur un triptyque: anticiper – détecter – réagir. En effet, l’évolution rapide des comportements d’achat et du paysage des PDV force l’adoption d’approches de défense proactives:1. la sensibilisation des acteurs contre l’infiltration de malware et ransomwares dans le système;2. le respect des bonnes pratiques de durcissement des systèmes et des applications, de déploiement des fixes de sécurité conjugués à un effort d’éradication des systèmes obsolescents et non supportés;3. la mise en œuvre de services de veille de sécurité de type CTI(2) pour identifier les nouvelles formes d’attaques/possibles données exfiltrées, l’instauration de relations de coopération et de partage étroites avec les autorités compétentes ou des pairs, l’élargissement des mesures de sécurité à sa chaîne de fournisseurs. En matière de détection, 1. dans la mesure du possible, sanctuariser l’ensemble des chaînes de liaison qui manipulent des données de paiement ou personnelles; 2. investir dans la supervision opérationnelle de la sécurité de ces chaînes afin de détecter et de bloquer au plus vite la propagation de malwares et de renforcer la résistance aux menaces. Enfin, pour garantir le maintien des efforts en matière de sécurité, les organisations ne doivent pas hésiter à avoir recours à certaines certifications comme PCI-DSS, TCPOS, SOC2, ou encore NF525. EY I Audit I Conseil I Fiscalité et Droit I TransactionsEY est un des leaders mondiaux de l’audit, du conseil, de la fiscalité et du droit, des transactions. Partout dans le monde, notre expertise et la qualité de nos services contribuent à créer les conditions de la confiance dans l’économie et les marchés financiers. Nous faisons grandir les talents afin qu’ensemble, ils accompagnent les organisations vers une croissance pérenne. C’est ainsi que nous jouons un rôle actif dans la construction d’un monde plus juste et plus équilibré pour nos équipes, nos clients et la société dans son ensemble.

Anticiper, détecter, réagir

Cybercriminalité