Fuite de données chez Acer : noms, adresses et numéros de carte bancaire dans la nature

Fuite de données chez Acer : noms, adresses et numéros de carte bancaire dans la nature

Avec l'été, les failles bourgeonnent

57

Fuite de données chez Acer : noms, adresses et numéros de carte bancaire dans la nature

Acer annonce s'être fait dérober des données personnelles de près de 34 500 clients ayant effectué des achats entre mai 2015 et avril 2016. Il est question des noms, adresses ainsi que des numéros de carte bancaire.

Alors que les fuites de données remontent régulièrement à la surface ces dernières semaines (même s'il s'agit parfois de données anciennes), le cas d'Acer est plus problématique. La société explique en effet à certains clients qu'elle s'est non seulement fait dérober des noms et des adresses, mais aussi des informations bancaires.

Dans une lettre envoyée aux clients concernés, elle explique que cela comprend le numéro de carte de paiement, la date d'expiration ainsi que le cryptogramme visuel (les trois chiffres au dos de la carte). Elle précise que les identifiants ainsi que les mots de passe ne sont a priori pas concernés, maigre consolation.

Bien évidemment, Acer explique avoir pris des mesures pour renforcer sa sécurité et pour colmater cette brèche, sans donner de précision sur les tenants et les aboutissants de cette affaire, si ce n'est que les clients concernés ont effectués des achats entre le 12 mai 2015 et le 28 avril 2016. Selon nos confrères de ZDNet qui citent un porte-parole de la société, 34 500 clients seraient ainsi touchés, et ils seraient tous basés aux États-Unis, au Canada ou à Porto Rico.

Le fabricant joint à son courrier un « guide des ressources » afin de venir en aide aux clients impactés, tout en leur recommandant de scruter attentivement leur relevé bancaire. De plus, une protection d'un an à Annual Credit Report est proposée.

Commentaires (57)


Ouf, les pirates ont ma carte mais pas mon mail !


Ça veut dire qu’Acer ne chiffrait pas les information bancaires ?


Des p’tits trous, des p’tits trous, toujours des p’tits trous


1 an de piratage ?

Rien que ça ?



Leur système a été vérolé pendant 1 an avant u’ils s’en rendent compte, ou ils conservaient les numéros de carte bancaire sur un serveur après achat ?

Dans les deux cas, c’est totalement aberrant, mais je trouve le deuxième cas inadmissible.

Les informations bancaires transmises devraient être immédiatement supprimées des serveurs après utilisation.


Bande de branlos !


Est ce qu’Acer était assuré contre ce risque? …

 


Les données volées sont chiffrées ou pas?


Ils gardent les informations bancaires… Sérieusement ? Oo manquerai plus que cela soit en clair et je rigole…

Mais heureusement, les clients qui ont perdu leur sous peuvent toujours accéder à leur compte et acheter un produit acer s’il le souhaite… Ce que je ne pense pas et je pense meme qu’il ne vont pas revenir de sitôt les voir.^^’








aldwyr a écrit :



Ils gardent les informations bancaires… Sérieusement ?





Bon nombre de sites conserves les informations bancaires.

Par exemple Amazon et Paypal, qui sont 2 géants du web.



Avec le nombre de systèmes de paiement en ligne disponibles aujourd’hui, je ne comprends même pas qu’une entreprise prenne le risque de récupérer le numéro de carte bancaire de ses clients …


En lisant l’article, je pensais justement à Amazon. Le jour à ça arrivera ça risque de faire très mal …

Et puis c’est pas parce que certain le font que c’est une pratique raisonnable :)








jeje07bis a écrit :



Bon nombre de sites conserves les informations bancaires.

Par exemple Amazon et Paypal, qui sont 2 géants du web.







Il me semble que chez Amazon, on peut supprimer le numéro de carte enregistré.

Bon après faut penser à le faire après chaque achat :/



D’autres comme steam laissent la possibilité au client de garder le numéro de carte en mémoire (c’est plus facile de soutirer du pognon quand y’a que deux clics à faire ^^)



Bon en même temps, pour Paypal ça me semble un peu logique, vu la finalité du site.

 Pour Amazon, effectivement, c’est moins normal. Pour ma part, je la supprime toujours après avoir fait des achats, même si ça ne m’étonnerait pas qu’ils la conservent quelque part quand même …








TexMex a écrit :



Est ce qu’Acer était assuré contre ce risque? …

 





Pas sur que les éventuels assurances veuillent intervenir, alors que ACER a stocké le crytogramme dans ses bases de données. Ce genre de données n’est pas censé être stocké sensible.









jeje07bis a écrit :



Bon nombre de sites conserves les informations bancaires.

Par exemple Amazon et Paypal, qui sont 2 géants du web.





il parait que les banques aussi conservent les informations bancaires de leurs clients …&nbsp;<img data-src=" />









picatrix a écrit :



il parait que les banques aussi conservent les informations bancaires de leurs clients …&nbsp;<img data-src=" />





non sans blague??? (et encore, pas sur qu’elles conservent le pictogramme)



Pour tous ceux qui font “Rhoooo ils gardent ceci ou cela”. Parce qu’on a vraiment l’impression que ce n’est pas vraiment maîtrisé.



On peut parfaitement garder des informations comme des empruntes chiffrées des informations transmises par les clients. Il suffit d’utiliser un système de chiffrement (“maison” ou pas).&nbsp;CAD l’information originale du client n’est pas conservée mais seulement une chaîne de caractère bien longue issue d’un chiffrement voir d’une série de chiffrement à la suite.



Quand le client se connecte à nouveau et retransmet les mêmes informations, le site peut contrôler la véracité de l’information en comparant les deux empruntes. Celle qu’il vient de recevoir et transforme avec son algorithme et celle déjà transformé qu’il a conservé . Si cela colle il peut transmettre au site bancaire (ou laisser le client se connecter). Il ne conserve donc rien en clair.



Ce genre de chiffrement doit être irréversible pour que cela soit efficace. C’est la bonne vieille “somme de contrôle” à la mode cryptographique.&nbsp;Donc, même avec une fuite de donnée, on ne pourra pas retrouver les informations originales. Cela protège tout le monde.&nbsp;



C’est un moyen, il y en à d’autre. Utilisation d’un tiers, etc…



Toutefois il est vrai que ce genre d’événement pose bien des questions sur les sites commerciaux en général. C’est normalement inimaginable de la part d’un Acer ou d’un Amazon de conserver des informations de ce type en clair. &nbsp;Mais bon plus c’est gros plus ça a de chance d’exister.



&nbsp;








Charly32 a écrit :



Ça veut dire qu’Acer ne chiffrait pas les information bancaires ?





Ça veut dire sûrement cela.



Mais le simple fait qu’elles les possède est scandaleux. Dans le pire des cas, ces données ne doivent être utilisées que le temps de vérifier l’exactitude auprès des services de type VISA. Ensuite, tout doit se passer avec un identifiant de transaction à usage unique fournit par le service de paiement.

Le mieux étant de faire traiter ces données par un tiers dont c’est le métier et qui gérera ces données suivant l’état d l’art et de travailler avec un identifiant à usage unique fourni par ce tiers.





jeje07bis a écrit :



Bon nombre de sites conserves les informations bancaires.

Par exemple Amazon et Paypal, qui sont 2 géants du web.





Paypal, je ne connais pas, mais pour Amazon, c’est faux. Ils ne conservent pas les infos qui ont fuité chez ACER. Ils conservent un identifiant échangé avec le service qui gère la carte. Cet identifiant sera utilisé à chaque paiement. Ils conservent aussi quelques chiffres du numéro de carte afin que l’utilisateur puisse identifier la carte.





lordzeon a écrit :



Avec le nombre de systèmes de paiement en ligne disponibles aujourd’hui, je ne comprends même pas qu’une entreprise prenne le risque de récupérer le numéro de carte bancaire de ses clients …





On est bien d’accord.









TexMex a écrit :



Ce genre de chiffrement doit être irréversible pour que cela soit efficace. C’est la bonne vieille “somme de contrôle” à la mode cryptographique.&nbsp;Donc, même avec une fuite de donnée, on ne pourra pas retrouver les informations originales. Cela protège tout le monde.&nbsp;





Il ne s’agit donc pas d’un chiffrage, mais d’un hachage. Le soucis c’est que conserver le hachage des informations bancaires, ça ne sert à rien.



Soit l’information est chiffrée et déchiffrable; elle évite aux clients d’avoir à resaisir les informations bancaire (amazon, ebay…).



&nbsp;Soit l’information est hachée, les informations d’origine ne sont pas récupérables, mais il n’est pas possible de payer un nouvel achat avec (et du coup ces informations ne servent à rien).

&nbsp;









Belial57 a écrit :



Pas sur que les éventuels assurances veuillent intervenir, alors que ACER a stocké le crytogramme dans ses bases de données. Ce genre de données n’est pas censé être stocké sensible.





Je dis ça je dis rien.

Des notes de service de Wallmart qui demandent à ce que les employés crèvent un peu plus pour toucher l’assurance, existent bien. Si on retrouve une note de service d’Acer qui demande à ce qu’ils se fassent voler plus de données, je ne serait pas étonné.



Données qui plus est; utilisables (puisqu’ils contactent leurs clients). C’est sur qu’à l’heure du “on sécurise tout”, il y a de grosses questions à se poser sur le pourquoi Acer n’à pas un système fiable (dans le sens de la protection du client).



Mais bon je vois le mal partout. Quoique… quoique…



&nbsp;



Acer : la sécurité made in Taiwan <img data-src=" />


Tu as raison c’est du hachage.



Toutefois je ne te rejoins pas sur l’autre point.

Ca sert a faire du contrôle :

-avant d’envoyer les informations bancaires au prestataire CB. Ça évite le numéro erroné. Les refus bancaire sont du traitement inutile. Avec les volumes qu’ils font…

-pour savoir si c’est bien ton client habituel. en conjonction avec d’autres paramètre (un cookie IDentifiant bien placé, même IP etc). Certains vont dire que c’est invasif… comptez le nombre de cookies que vous avez sur votre machine, merci…



Il existe bien des moyens pour faire en sorte que le client ne ressaisisse pas les informations bancaire et sans les stocker sur le site.



&nbsp;


Oh, tu m’apprends un truc sur Amazon.

Je ne m’en soucis pas vraiment car je donne que des cartes temporaire générer par ma banque donc je me dis que c’est bon. ^^’&nbsp;

Si je vais voir dans les listes des cartes qui sont enregistrer, je vais avoir un bon paquet je sens. ^^’

&nbsp;


Dommage mais la CNIL dit qu’il faut que ce soit cryptés et non hashé



https://www.cnil.fr/fr/un-site-marchand-peut-il-conserver-mes-donnees-bancaires&nbsp;

Quelles sont les obligations des éditeurs de sites marchands en matière de sécurité et de confidentialité concernant les données bancaires&nbsp;?La CNIL exige que les données bancaires soient cryptées par l’intermédiaire d’un algorithme de chiffrement dit “fort”. Cela signifie que les données bancaires sont rendues incompréhensibles sauf pour l’éditeur du site internet. L’accès au fichier contenant ces données doit également être restreint au sein du personnel du site internet. Les accès et les liaisons au site marchand doivent être également sécurisés. Cela signifie que l’adresse des pages des formulaires de paiement doit être en https par exemple, ce que vous pouvez vérifier en regardant l’adresse du site.


Acer, la boîte taiwanaise typique qui se moque complétement des dépenses “inutiles” comme le contrôle qualité, le support technique ou la sécurité des clients.&nbsp;



Je n’attends qu’une chose, c’est qu’ils coulent. A mettre dans le même panier que HTC. Le plus triste dans l’affaire c’est que ça ne servira même pas de leçon aux autres.&nbsp;


Il y a des choses à acheter chez Acer ?








TexMex a écrit :



On peut parfaitement garder des informations comme des empruntes chiffrées des informations transmises par les clients.



Je pense que tu veux dire “empreintes”.









TexMex a écrit :



il y a de grosses questions à se poser sur le pourquoi Acer n’à pas un système fiable



Tu parles de leurs ordinateurs ? <img data-src=" />



S’ils veulent conserver les infos, au moins qu’ils en masquent une partie !

&nbsp;1234 XXXX 5678 XXXX par exemple !

Et même avec ça… A quoi cela leur sert de stocfker le numéro de CB, une fois que la transaction est validée ?


Effectivement…

&nbsp;correcteur automatik deux marde.

&nbsp;


Bah, ils peuvent les garder les information bancaire… ce n’est pas cela qui est grave, si c’est bien crypter et sécuriser.&nbsp;



Je me souviens sur un site, il me demandé les 4 derniers chiffres de la CB et toujours le cryptogramme pour valider l’opérateur. &nbsp;Des fois, cela varié. Mais il demandait toujours une information pour completer les informations.



Ils gardent les informations pour pousser au achat compulsif. Pas la peine d’aller chercher ta CB pour payer, tu n’as juste qu’a cliquer. :)


Ils conservent les données, probablement pour faciliter les paiements recurrents, ou pour les achats de type achat-en-un-click ©.


Éviter au client de devoir retaper toute les informations probablement.&nbsp;

C’est plus facile de se souvenir des 4 derniers chiffre de la CB que de tous.&nbsp;



et ainsi, faciliter les achats compulsifs… ^^



De même pour le cryptogramme…








dricks a écrit :



Dans les deux cas, c’est totalement aberrant, mais je trouve le deuxième cas inadmissible.

Les informations bancaires transmises devraient être immédiatement supprimées des serveurs après utilisation.









c’est inadmissible, mais c’est loin d’être le seul cas :

sony, et d’autres ont eu la meme lors des heures d’anonymous début 201x, donc il n’y a plus d’inquiétude face à la banalisation des fuites de données :

il y en a eu, il y en a encore, il y en aura toujours.

et pas besoin de demander de chiffrer les données, seuls certains le feront, les autres préféreront se fendre d’un communiqué de presse, ca n’ira pas plus loin, les gens lambda n’accordant pas ou peu d’importance à la situation (il faut s’en occuper, du temps donc, que les gens n’ont plus)

ce qui montre qu’on peut encore etre victime des pires merdres, et dans dix ans acer seront encore debout faut pas croire.

Les fautes professionnelles ou incompétences de hauts responsables ne sont/seront plus sanctionnés, faut s’y faire.









Charly32 a écrit :



Il me semble que chez Amazon, on peut supprimer le numéro de carte enregistré.

Bon après faut penser à le faire après chaque achat :/



D’autres comme steam laissent la possibilité au client de garder le numéro de carte en mémoire (c’est plus facile de soutirer du pognon quand y’a que deux clics à faire ^^)









et c’est pour ceci exactement qu’amazon/steam rentabiliseront plus rapidement un ensemble de ventes rapides/intuitives sur plusieurs mois/années qu’une fuite de données qui leur coutera moins cher.









kade a écrit :



Il y a des choses à acheter chez Acer ?





ya bien des gens qu’acheteront des ordis chez auchan/carrefour/leclerc parce que c’est pas cher.. et dans vingt ans ca n’aura surtout pas changé, grande consommation oblige.







phos a écrit :



Je n’attends qu’une chose, c’est qu’ils coulent.





pathétique. On dirait les freeboys sur SFR sur le forum UF. Tellement immoral qu’incivique de croire que la chute d’une boite va couter un centime aux dirigeants. Naîveté éternelle.







Jarodd a écrit :



S’ils veulent conserver les infos, au moins qu’ils en masquent une partie !

&nbsp;1234 XXXX 5678 XXXX par exemple !

Et même avec ça… A quoi cela leur sert de stocfker le numéro de CB, une fois que la transaction est validée ?







inutile, ce sera masqué a l’affichage pour le client, pas dans la base de données pour le hacker : visible la ou on veut qu’il soit caché, invisible la ou il serait pas risqué de l’afficher



“De plus, une&nbsp;protection d’un an à Annual Credit Report est proposée.“C’est cool les fuites de données, là ou il y a du risque il y a de l’assurance…[nota : ici aussi il y a un certain nombre de coquilles, pas de relecture par un tiers ?)


Si on en croit Fred42, les marchands n’ont pas besoin de faire ça : ils reçoivent un numéro de transaction unique et réutilisable. Ça conforte ce que j’avais lu à ce sujet. Il me semble que les établissements comme VISA sont très stricts et n’autorisent pas les intermédiaires à stocker des données sensibles comme le crpytogramme.



Donc pour Acer : <img data-src=" />








trekker92 a écrit :



inutile, ce sera masqué a l’affichage pour le client, pas dans la base de données pour le hacker : visible la ou on veut qu’il soit caché, invisible la ou il serait pas risqué de l’afficher





Je parlais du stockage de ses valeurs, pas de l’affichage au client.

C’est ce qu’on faisait chez mon ancien client e-commerce. Cela permettait de retrouver un booking avec une partie de la CB, mais évitait les problèmes en cas de fuite des données.









dricks a écrit :



1 an de piratage ?

Rien que ça ?



Leur système a été vérolé pendant 1 an avant u’ils s’en rendent compte, ou ils conservaient les numéros de carte bancaire sur un serveur après achat ?

Dans les deux cas, c’est totalement aberrant, mais je trouve le deuxième cas inadmissible.

Les informations bancaires transmises devraient être immédiatement supprimées des serveurs après utilisation.





D’autant plus que la norme PCI-DSS proscrit de stocker le CVV qui a ici visiblement fuité. Ce qui est arrivé est juste inacceptable…



Ils pourraient garder certaines données à condition de les chiffrer tout en gardant les clés de crypto stockées dans un HSM.

&nbsp;



Il faut punir ces gens la qui store nos données personelle, et bancaire !!!!! c’est du vol, meme si c’est inscrit dans leurs T.O.S



IRL meme avec une T.O.S tu vas quand meme en prison pour ca








Naneday a écrit :



Il faut punir ces gens









haha



belle naïveté



j’ai rit.









trekker92 a écrit :



pathétique. On dirait les freeboys sur SFR sur le forum UF. Tellement immoral qu’incivique de croire que la chute d’une boite va couter un centime aux dirigeants. Naîveté éternelle.





&nbsp;En tant que consommateur, c’est plutôt une bonne chose de vouloir qu’une boite faisant de mauvais produits coule. Mais après tu y vois ce que tu veux hein, pas la peine d’être aussi agressif. Bisous.&nbsp;









col a écrit :



La CNIL exige que les données bancaires soient cryptées par l’intermédiaire d’un algorithme de chiffrement dit “fort”. Cela signifie que les données bancaires sont rendues incompréhensibles sauf pour l’éditeur du site internet.





Perso ce qui me semblerait logique si un site web veut garder les données bancaires serait qu’il les chiffre avec la clé publique dont la clé privée est détenue par la banque. De cette manière, même si le site se fait totalement dépouiller (donc y compris tous ses mots de passe) ça reste très difficile de retrouver les codes des clients, et de son côté la banque sait retrouver le code de CB à partir du charabia qui lui est envoyé.

Après, je ne connais pas grand chose au système, l’identifiant décrit par fred42 joue probablement un rôle similaire, sûrement en mieux. Encore faut-il que le site web utilise ce mécanisme plutôt que de paresseusement tout stocker en clair dans sa BDD accessible depuis internet et dont le login/mdp est admin/admin.



cool story bro, je préfère être naïf de vouloir mieux que penser que les choses sont comme elle sont et que rien ne peut etre changer



Je refuse d’accepter ca, tu es libre de laisser ton fion en open bar par contre








phos a écrit :



&nbsp;En tant que consommateur, c’est plutôt une bonne chose de vouloir qu’une boite faisant de mauvais produits coule. Mais après tu y vois ce que tu veux hein, pas la peine d’être aussi agressif. Bisous.&nbsp;









parce que répandre l’apologie à la faillite d’entreprises françaises et d’emplois qui y sont associés, ca n’a rien d’agressif?







Naneday a écrit :



cool story bro, je préfère être naïf de vouloir mieux que penser que les choses sont comme elle sont et que rien ne peut etre changer



Je refuse d’accepter ca, tu es libre de laisser ton fion en open bar par contre







tu préfères juste d’etre naïf que d’accepter la réalité.

Laisses ton fion en openbar tant que les choses n’ont pas changé.

On est deux dans le meme bateau, différents points de vue, mais consommation identique : tu t’adaptes… ou la sélection naturelle s’appliquera.. la société est au dessus des gens hein..



Une question : est-ce que les lois sur les rétentions d edonnées bancaire diffèrent entre l’amérique du nord et l’europe?

&nbsp;







kade a écrit :



Il y a des choses à acheter chez Acer ?





Leurs écrans sont dans la course. Certains de leurs PC portables offrent des bon compromis puissance/prix également.

&nbsp;





phos a écrit :



&nbsp;En tant que consommateur, c’est plutôt une bonne chose de vouloir qu’une boite faisant de mauvais produits coule. Mais après tu y vois ce que tu veux hein, pas la peine d’être aussi agressif. Bisous.&nbsp;





Ben non, on pourrait simplement souhaiter que la boite change d’attitude <img data-src=" />









trekker92 a écrit :



parce que répandre l’apologie à la faillite d’entreprises françaises et d’emplois qui y sont associés, ca n’a rien d’agressif?





Ils sont Taiwanais Acer. Bon j’arrête de nourir le troll, t’es même pas drôle en fait. Bisous²&nbsp;









Charly32 a écrit :



Une question : est-ce que les lois sur les rétentions d edonnées bancaire diffèrent entre l’amérique du nord et l’europe?

&nbsp;





C’est inscrit dans la réglementation de certains pays, mais surtout Visa, Mastercard, Amex et d’autres qui édictent les règles de leur propre réseau. Et ils disent tous que les données d’authentification (code CVV et d’autres infos) ne doivent pas jamais être stockées.









phos a écrit :



Ils sont Taiwanais Acer. Bon j’arrête de nourir le troll, t’es même pas drôle en fait. Bisous²&nbsp;







et ils ont pas de filiale francaise ni américaine (cf news) ah oui j’oubliais c’est une pme taiwannaise qui réfléchit à son internationalisation.

Jamais revendiqué d’etre drole..

J’t’aime aussi :)



Pas nécessairement en fait.

J’ai déjà bossé sur l’implémentation de tels systèmes de paiement, avec au final le même usage que sur amazon (carte “enregistrée” coté e-commerçant), et les infos de carte ne sont pas nécessairement conservées en entier.



Dans mon cas le système fonctionnait comme ça :




  • le client rentrer ses infos bancaires sur un page sécurisée du commerçant

  • le SI (du commerçant) contacte la banque pour valider les infos bancaires et obtenir une autorisation de prélèvement

  • le SI enregistre cette autorisation de prélèvement, ainsi qu’une partie des infos bancaires (date de validité de la carte, et derniers numéros de la carte)



    Conserver la date de validité est utile pour ne pas proposer au client d utiliser une carte expirée, les derniers numéros sont utiles pour le client afin qu’il sache quelle carte il utilise, et pour éventuellement retrouver plus facilement les transactions faites avec une carte volée, en cas de requête des autorités ou de plainte d’un “client”.

    Le risque de sécurité est minime, les infos de cartes stockées n’étant pas suffisantes pour s’en servir, et les autorisations de prélèvement ne sont pas exploitables par des pirates (ils pourraient en théorie piquer l’argent des clients pour le donner au commerçant piraté, mais impossible d’en tirer profit)



    Il y a bien sur des règles de sécurité bien plus strictes à suivre lorsqu’on traite des numéros de CB que lorsqu’on renvoit les clients sur une page de paiement d’une banque, mais c’est controlé.



    Au final, moi qui refusait toujours de sauver mes infos bancaires, maintenant que je sais comment ça peut marcher, je me laisse parfois tenter. En général le plus gros frein c’est quand le site permet trop facilement de valider sa commande, trop propice aux erreurs à mon gout ;)


Le sous-titre à un rapport avec le nom latin de l’érable (l’arbre) : acer ? Si oui, je dis chapeau !


Peut être y a t-il des astuce avec la localisation du site. Après tout un site étranger et basé a l’étranger doit-il répondre et se conformer au recommandation de la CNIL? Si oui, je ne suis pas certain qu’un chinois comprenne bien la chose.&nbsp;



Et comme&nbsp;trekker92 le rappelle, l’incompétence a un prix. Donc ils s’en foutent. Jusqu’au moment ou le ticket coûtera plus cher que de faire les choses proprement. Bref, ce n’est pas près de s’arrêter.



&nbsp;


Ah, les coordonnées bancaires étaient stockées en clair ?



<img data-src=" />


En fait le système décrit par fred42 est la tokenization et le plus répandu. Normalement le seul admis pour le stockage d’information de paiement pour un site (qui au passage doit , pour avoir le droit de gérer des CB etre conforme a plusieurs règles décrite par le standard PCI-DSS)



Ce systeme est un standard monétique qui permet en effet de stocker un jeton à la place du numéro de carte et qui est associé à des conditions et un contexte pour faire le paiement. le marchand peut ainsi permettre d’effectuer des paiements ultérieurs avec ce jeton mais personne d’autre, le récupérer ne sert à rien pour un attaquant.



&nbsp;Donc Acer pour avoir le droit de traiter des CB aurait du etre conforme a PCI-DSS et s’il était conforme a&nbsp; n’aurait jamais eu ce type de traitement. apres c’est la magie de la conformité, faut que quelqu’un controle…


pour info la norme PCI-DSS 3.0 interdit le stockage des “Numéro de compte primaire” et du code de sécurité “CAV2/CVC2/CVV2/CID”


Stockage du PAN en clair est interdit



Extrait de la norme PCI-DSS &nbsp;

Les PAN stockés sur les supports de stockageprincipal (bases de données ou fichiers platscomme les feuilles de calcul) et autres supportssecondaires (sauvegardes ou journaux d’audit,d’anomalies ou de dépannage) doivent tous êtreprotégés.Les fonctions de hachage unilatéral reposant surune cryptographie robuste peuvent être utiliséespour rendre les données du titulaire illisibles. Cesfonctions de hachage sont appropriées lorsqu’iln’est pas nécessaire de récupérer le numérod’origine (le hachage unilatéral est irréversible). Ilest recommandé, bien que ce ne soit pas unecondition, qu’une valeur supplémentaire aléatoiresoit ajoutée aux données du titulaire avant lehachage pour réduire la possibilité qu’un piratepuisse comparer les données (et découvrir lePAN) à des tableaux de valeurs de hachage pré-calculées.La troncature vise à ne stocker qu’une partieseulement du PAN (sans dépasser les sixpremiers et les quatre derniers chiffres).Un « jeton d’index » est un élémentcryptographique qui remplace le PAN en fonctiond’un indice donné, par une valeur imprévisible. Unpad ponctuel est un système dans lequel une cléprivée, générée de façon aléatoire, est utiliséeune seule fois pour crypter un message, qui estensuite décrypté à l’aide de la clé et du padponctuel correspondant.L’objectif de la cryptographie robuste (selon ladéfinition du Glossaire des termes, abréviations etacronymes PCI DSS et PA-DSS) est de fonder lecryptage sur un algorithme testé et accepté par lesecteur (non pas un algorithme exclusif ou «développé en interne »), avec de robustes cléscryptographiques.En corrélant les versions hachées et tronquéesd’un PAN donné, un individu malveillant peutfacilement reconstituer le PAN d’origine. Descontrôles empêchant la corrélation de cesdonnées permettront de garantir que le PANd’origine reste illisible.&nbsp;


Fermer