Connexion
Abonnez-vous

Target, Neiman Marcus : des millions de numéros de cartes bancaires dérobés

Damage control...

Target, Neiman Marcus : des millions de numéros de cartes bancaires dérobés

Le 13 janvier 2014 à 15h55

Plusieurs immenses brèches de sécurité aux États-Unis ont provoqué le vol de dizaines de millions de numéros de cartes bancaires. La chaine de magasins Target a été la première visée mais n’est désormais plus la seule depuis que les boutiques Neiman Marcus sont désormais de la partie. Il pourrait s’agir dans les deux cas de la même méthode, mais le lien reste encore à démontrer.

carte crédit banque

Crédits : Cheon Fong Liew, licence Creative Commons

40 millions de cartes bancaires piratées dans un premier temps 

La chaine de magasins Target est victime d’une immense fuite de données après le piratage plus que réussi de l’une de ses bases. Tout a commencé quelque part entre le 27 novembre et le 15 décembre, dans une période qui inclut aussi bien le fameux Black Friday que le Cyber Monday. Une alerte avait été publiée par Krebs on Security pour indiquer qu’une immense opération de vol de données sensibles contre Target avait été couronnée de succès, une information qui avait été confirmée par l’entreprise quelques jours plus tard.

Dans cette première communication officielle de Target, datée du 20 décembre, la société y indique que des informations personnelles ont été volées mais ne donne guère d’éléments. La situation est en fait relativement grave : 40 millions de numéros de cartes de crédits ou de paiement ont été dérobés, accompagnés de leurs dates d’expiration et des trois derniers chiffres au dos de la carte (code CCV). Target a beau tenter d’adoucir la situation et préciser que rien n’indique que les codes PIN ont été volés, les évènements vont lui donner tort.

70 millions de personnes supplémentaires 

Une semaine plus tard, la chaine de magasins révèle qu’après un audit de sa sécurité, il a été découvert que les codes PIN avaient eux aussi été emportés. L’entreprise indique cependant que ces codes sont lourdement chiffrés et que la clé pour y accéder est stockée dans une base de données externe et indépendante.

 

Mais la situation déjà complexe pour Target est devenue plus délicate en fin de semaine dernière : la société a confirmé que 70 millions de comptes supplémentaires étaient concernés par la fuite, portant le total à 110 millions. Cependant, ces comptes ne sont pas touchés de la même manière. Ainsi, aucun numéro de carte de paiement ou de crédit n’a été dérobé, mais d’autres informations telles que les noms, adresses email, adresses postales et numéro de téléphone font partie de l’équation.

Une confiance à restaurer 

Target précise cependant qu’il ne s’agit pas d’une nouvelle brèche mais d’une ancienne révélée par un audit récent. Ce qui ne change évidemment rien au résultat. En outre, la firme avertit actuellement les clients concernés par cette immense fuite, quand bien même les informations se révèlent la plupart du temps fragmentaires. En outre, elle établit un plan d’action incluant, comme Sony à son époque, une protection contre les fraudes bancaires pour les victimes. L’entreprise aura d’ailleurs fort à faire car comme l’indique le Wall Street Journal, elle enregistre depuis la confirmation du scandale une chute de ses ventes. Le responsable John Mulligan a d’ailleurs confirmé que la restauration de la confiance était désormais la priorité.

Neiman Marcus et trois autres enseignes touchées par des attaques 

Seulement voilà, Target n’est désormais plus la grande enseigne américaine à avoir été victime d’un tel piratage. La chaine de boutiques de luxe Neiman Marcus subit elle aussi les foudres de ses clients après la confirmation d’un vol portant sur un nombre inconnu de cartes de paiement ou de crédit. La ou les attaques auraient eu lieu courant décembre et ont été confirmées par une société indépendante le 1er janvier. Rien ne dit actuellement que c'est la même méthode que pour Target qui a été utilisée, mais la proximité des deux attaques et des résultats crée la suspicion. Neiman Marcus a indiqué dans un tweet faire son possible pour avertir les clients concernés.

neiman marcus

Et comme si cela n’était pas suffisant, le Chicago Tribune indique qu’au moins trois autres enseignes de ventes américaines seraient également concernées par de telles attaques, renforçant la suspicion autour d’une même méthode appliquée sur de nombreuses cibles en un court laps de temps. Cependant, les noms des entreprises touchées n’ont pas encore été rendus publics, même si le Tribune indique qu’il s’agit a priori d’enseignes possédant uniquement des boutiques dans les galeries marchandes des supermarchés. Ainsi, de grands magasins comme WalMart et K-Mart seraient épargnés.

Dans tous les cas, tous les piratages concernent prioritairement des cartes bancaires, ce qui pourrait éroder pour une période durable la confiance des clients dans ce moyen de paiement.

Commentaires (64)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Safety first <img data-src=" />

votre avatar

C’est passé aux infos il y a quelques temps, et des citoyens américains témoignaient du fait que leur compte avait étés débités plusieurs fois par des inconnus, notamment en Inde.



Informer du vol c’est bien, mais après est-ce que les enseignes ou les banques remboursent ?

votre avatar

On peut penser à un 0-day.



On peut aussi penser à des failles de sécu qui auraient dues être au moins colmatées depuis 10 ans (type SQL, XSS exploitant les nouveaux frameworks JS, etc)

votre avatar

D’où l’intérêt d’activer la confirmation par MDP/N° de tel pour les paiements en ligne

votre avatar

En même temps depuis le temps que l’on dit aux banques de mettre des systèmes de sécurité en place (genre 3D secure, mais il faudrait pouvoir imposer que les transactions passent par ce système, car pour l’instant c’est seulement le vendeur qui est protégé, pas le client!!!).

Et toutes ces fraudes ont des coûts qui sont répercutés in fine sur le consommateur final…

votre avatar

1 - pas de close source

2 - du lean open source donc pas de java, pas de gcc mais du C, un linux stripped down…

3 - du hard le plus débile et simple possible (envisager FPGAs pour secu fixing)

4 - une armée de pen-tester…



<img data-src=" />

votre avatar

Et en plus ils payent des impots pour les budgets pharaoniques de la nsa.

Ils l’ont encore plus profond que les français.

<img data-src=" />

On peut en dire sur les gouv fr et leur invariable jean-foutre du peuple français mais là c’est le strike de toutes les politiques pro collection d’info de la planète depuis ces dernières décennies et c’est les américains qui sont partis pour payer plein pots … on se le prendra juste derrière mais bon, le moment est doux.

<img data-src=" />

votre avatar







unCaillou a écrit :



C’est passé aux infos il y a quelques temps, et des citoyens américains témoignaient du fait que leur compte avait étés débités plusieurs fois par des inconnus, notamment en Inde.



Informer du vol c’est bien, mais après est-ce que les enseignes ou les banques remboursent ?







En France oui mais aux US ?


votre avatar

On parle de cartes bancaires distribuées par les branches financières de Target et Neiman Marcus, ou bien de cartes qui ont été servies pour faire des achats dans ces magasins, quelle que soit leur banque d’émission ?

votre avatar

Le pire est qu’un système type E-Carte bleue n’est même pas la solution dans ce cas: il s’agit de piratage des terminaux PdV en supermarché!

votre avatar







Berri-UQAM a écrit :



On parle de cartes bancaires distribuées par les branches financières de Target et Neiman Marcus, ou bien de cartes qui ont été servies pour faire des achats dans ces magasins, quelle que soit leur banque d’émission ?





J’ai peine à croire qu’il s’agit de cartes de magasin : 110 millions c’est 13 des habitants des USA. Je doute que tous les adultes aient une carte TARGET.

J’en déduis (mais je peux me tromper) qu’il s’agit des cartes de paiement des clients.


votre avatar



Target précise cependant qu’il ne s’agit pas d’une nouvelle brèche mais d’une ancienne révélée par un audit récent.



En quoi cette précision est elle positive pour Target ?



Je trouve qu’on manque encore de détails mais le nombre important de victimes semble indiquer une affaire très sérieuse.

votre avatar







Aloyse57 a écrit :



J’ai peine à croire qu’il s’agit de cartes de magasin : 110 millions c’est 13 des habitants des USA. Je doute que tous les adultes aient une carte TARGET.

J’en déduis (mais je peux me tromper) qu’il s’agit des cartes de paiement des clients.





Par contre beaucoup d’américain ont plusieurs cartes.

Rien que ma copine, qui est étudiante, en a 4-5 et elle jongle entre les différentes pour répartir les intérêts (ensuite elle joue à un jeu des chaises musicales pour profiter des offres avec 0-1% d’intérêts).


votre avatar







CoooolRaoul a écrit :



Le pire est qu’un système type E-Carte bleue n’est même pas la solution dans ce cas: il s’agit de piratage des terminaux PdV en supermarché!





??

les terminaux stockent les codes pin, le CCV et la date de fin?



j’hallucine, là.<img data-src=" />


votre avatar







Aloyse57 a écrit :



J’ai peine à croire qu’il s’agit de cartes de magasin : 110 millions c’est 13 des habitants des USA. Je doute que tous les adultes aient une carte TARGET.

J’en déduis (mais je peux me tromper) qu’il s’agit des cartes de paiement des clients.





Les Américains sont friands de cartes de crédit, mais vu le chiffre, ça semble en effet plutôt être les cartes lambda ayant servi à payer des achats dans les magasins Target. On en saura bientôt plus, je suppose.



Ça fait peur, quand même. <img data-src=" />







hellmut a écrit :



??

les terminaux stockent les codes pin, le CCV et la date de fin?



j’hallucine, là.<img data-src=" />





Pas besoin du code “pin”/secret pour acheter en ligne et utiliser frauduleusement les données piratées des cartes.


votre avatar







sylware a écrit :



2 - du lean open source donc pas de java, pas de gcc mais du C





Tu compiles avec quoi du coup?


votre avatar

J’ai toujours pas compris comment les codes PIN ont été dérobé, ni pourquoi ils étaient stockés.


votre avatar







Khalev a écrit :



Tu compiles avec quoi du coup?





À la main, on n’est jamais trop prudent.

Par contre, la productivité en prend un coup <img data-src=" />


votre avatar







aureus a écrit :



J’ai toujours pas compris comment les codes PIN ont été dérobé, ni pourquoi ils étaient stockés.





Pour le One Click Payment je présume ;)



Heureusement que des acteurs comme Amazon Payments sont assez malins pour stocker les PIN sur des serveurs séparés..







CoooolRaoul a écrit :



Le pire est qu’un système type E-Carte bleue n’est même pas la solution dans ce cas: il s’agit de piratage des terminaux PdV en supermarché!





Euh.. quoi ? C’est marqué où ou ça vient de quel site que ça concerne les TPV ?



Parceque là, ce n’est pas juste l’emprunte de la carte qui a été volée, mais également des mails, numéros de téléphones, etc…



votre avatar







Lady Komandeman a écrit :



Pas besoin du code “pin”/secret pour acheter en ligne et utiliser frauduleusement les données piratées des cartes.





C’est pas ce qu’il demandait <img data-src=" />



Est-ce que les terminaux de paiements dans les supermarchés stockent les numéros de cartes, date d’expiration et code CCV ?


votre avatar

Selon certaines rumeurs sur des sites semi-louches la source de découvertes de la faille aurait été via un piratage de caisse automatisée + douchettes (interception des données transitant entre les deux pour savoir ce qui est envoyé ou, quand et avec quels mot clés)



(sinon pour information il n’y a aucune loi qui demande de crypter les informations bancaires, juste des recommandations de la CNIL. On a demandé à un de nos partenaires de gestion des caisses qui nous a sorti ça d’ailleurs..)

votre avatar







Marc4444 a écrit :



En France oui mais aux US ?





A priori oui aussi :



« Target, qui assumera par ailleurs la responsabilité financière en cas d’utilisation frauduleuse des données bancaires dérobées. »



source: tf1


votre avatar

Une question au expert.



Comment lors d’un audit sécurité il est découvert ce qui a été volé? Ils y a des traceur pour les serrures numérique forcé?



Je me suis toujours posé la question.

votre avatar







XMalek a écrit :



Selon certaines rumeurs sur des sites semi-louches la source de découvertes de la faille aurait été via un piratage de caisse automatisée + douchettes (interception des données transitant entre les deux pour savoir ce qui est envoyé ou, quand et avec quels mot clés)



(sinon pour information il n’y a aucune loi qui demande de crypter les informations bancaires, juste des recommandations de la CNIL. On a demandé à un de nos partenaires de gestion des caisses qui nous a sorti ça d’ailleurs..)







Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement.

Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende.

legifrance.gouv.fr République Française


votre avatar







Khalev a écrit :



Par contre beaucoup d’américain ont plusieurs cartes.

Rien que ma copine, qui est étudiante, en a 4-5 et elle jongle entre les différentes pour répartir les intérêts (ensuite elle joue à un jeu des chaises musicales pour profiter des offres avec 0-1% d’intérêts).







J’en ai plus d’une vingtaine <img data-src=" />…toutes à $0 <img data-src=" /> pour profiter de certaines offres aussi.


votre avatar







tAran a écrit :



Pour le One Click Payment je présume ;)



Heureusement que des acteurs comme Amazon Payments sont assez malins pour stocker les PIN sur des serveurs séparés..







Si je me rappelle bien ce que c’est y’a aucun besoin du code PIN, juste du CCV, J’ai déjà acheter sur amazon et jamais de la vie j’y aurais mis mon code de carte bleue. Faudrait être complétement stupide.


votre avatar







XMalek a écrit :



Selon certaines rumeurs sur des sites semi-louches la source de découvertes de la faille aurait été via un piratage de caisse automatisée + douchettes (interception des données transitant entre les deux pour savoir ce qui est envoyé ou, quand et avec quels mot clés)



(sinon pour information il n’y a aucune loi qui demande de crypter les informations bancaires, juste des recommandations de la CNIL. On a demandé à un de nos partenaires de gestion des caisses qui nous a sorti ça d’ailleurs..)







C’est très fréquent en Amérique du nord, le clonage direct (Distributeurs de billets, paiement aux caisses,etc…). C’est pas étonnant : quand tu paies un salaire de misère aux employés, tu as un gros turn-over, avec un paquet de types louches dans le tas.

Par ailleurs, le banditisme a des moyens de pression redoutables (pognon ou menaces) sur ces personnes vulnérables.


votre avatar







aureus a écrit :



Si je me rappelle bien ce que c’est y’a aucun besoin du code PIN, juste du CCV, J’ai déjà acheter sur amazon et jamais de la vie j’y aurais mis mon code de carte bleue. Faudrait être complétement stupide.







Exact et je fais pareil en plus, honte à moi ! <img data-src=" />



CoooolRaoul parlait des TPV, à moins d’avoir installé un backdoor global à même les TPV (donc chez le fournisseur) et pas juste du skimming de quelques TPV, je vois mal comment les mecs pourraient choper les codes PIN, surtout de millions de personnes.



Je crois surtout que Target se mélange les pinceaux entre attaque physique et attaque en ligne, parler du fait qu’ils ne savent pas si les PIN ont été volés risquent de les desservir plus qu’autre chose..


votre avatar







jrbleboss a écrit :



<img data-src=" /> Je me suis toujours demandé qui pouvait accepter de payer entre 20% et 30% d’intérêts sur des cartes de crédit.





Justement, elle utilise les fameuses offres “0% pendant 1 an puis 30% ensuite”. Ils sont plusieurs dans son université à faire ça (t’as même un logiciel qui te dit à quel moment commencer à vider telle carte pour être sûr de paye un minimum d’intérêts).



Du coup elle arrive à stagner à 5-7% d’intérêts.


votre avatar







Khalev a écrit :



Justement, elle utilise les fameuses offres “0% pendant 1 an puis 30% ensuite”. Ils sont plusieurs dans son université à faire ça (t’as même un logiciel qui te dit à quel moment commencer à vider telle carte pour être sûr de paye un minimum d’intérêts).



Du coup elle arrive à stagner à 5-7% d’intérêts.





Ca reste quand même énorme <img data-src=" />

Quand tu compares aux prêts étudiant français à 1.5% sur 7 ans remboursables après la fin des etudes, ça laisse rêveur.


votre avatar







tAran a écrit :



Euh.. quoi ? C’est marqué où ou ça vient de quel site que ça concerne les TPV ?







ici:

http://www.businessinsider.com/target-credit-card-hackers-2013-12



“the hackers went through the physical checkout systems inside every Target store”



votre avatar







CoooolRaoul a écrit :



ici:

http://www.businessinsider.com/target-credit-card-hackers-2013-12



“the hackers went through the physical checkout systems inside every Target store”





Joli ! Merci de ta précision <img data-src=" />


votre avatar







g30lim4 a écrit :



D’où l’intérêt d’activer la confirmation par MDP/N° de tel pour les paiements en ligne





D’où l’intérêt de ne pas enregistrer les n° de CB dans son système d’information quand on est un * de commerçant qui ne pense qu’à faciliter l’achat compulsif sans penser une seconde aux risques.


votre avatar







Khalev a écrit :



Par contre beaucoup d’américain ont plusieurs cartes.

Rien que ma copine, qui est étudiante, en a 4-5 et elle jongle entre les différentes pour répartir les intérêts (ensuite elle joue à un jeu des chaises musicales pour profiter des offres avec 0-1% d’intérêts).





<img data-src=" /> Je me suis toujours demandé qui pouvait accepter de payer entre 20% et 30% d’intérêts sur des cartes de crédit.







serik a écrit :



En même temps depuis le temps que l’on dit aux banques de mettre des systèmes de sécurité en place (genre 3D secure, mais il faudrait pouvoir imposer que les transactions passent par ce système, car pour l’instant c’est seulement le vendeur qui est protégé, pas le client!!!).

Et toutes ces fraudes ont des coûts qui sont répercutés in fine sur le consommateur final…





Qu’est ce que cela changera ? Aux U.S., tu copies la piste magnétique, crée une carte avec cette piste et c’est tout. Il n’y a pas de puce, donc pas de PIN. Et dans pas mal de cas (&lt; $50) pas besoin signer et pas de vérification d’identité. D’ailleurs, même pour plusieurs milliers de dollars, on ne m’a jamais demandé d’ID (ca doit aider d’être blanc et bien habillé <img data-src=" />).



En revanche, il est ultra facile d’annuler n’importe quelle dépense illégitime <img data-src=" />.


votre avatar







aureus a écrit :



Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement.

Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende.

legifrance.gouv.fr République Française





Cette loi ne s’applique qu’en cas de manquement très grave. Pas si on sécurise à l’arrache (ce que beaucoup font). Du coup elle n’est jamais appliqué.



Les seuls à protéger les données correctement c’est ceux qui gère les paiements (banque + opérateurs bancaire comme Ingenico) mais derrière les utilisateurs ne protègent rien (magasins, d’automates de paiement, etc).



Et beaucoup d’entre eux sont relié en réseau (maintenance à distance), résultat il suffit d’accéder à leur extranet, de récupérer les bases et les fichier de log (numéro de la carte, date, ccv, tout est sur la puce et donc tout est logué dans un fichier texte…) des differents points de vente, et voilà, rien qu’en France, t’as quelques dizaines de millions de carte valide en main.



Vu la culture de la sécurité totalement absente dans ces boites, ça devrait pas être dur de trouver comment entrer.



Non, je ne donnerais pas de nom, mais bon, elles ne manquent pas donc vous en trouverez facilement quelques-unes si vous avez besoin de commander quelques trucs en ligne <img data-src=" />


votre avatar







hellmut a écrit :



les terminaux stockent les codes pin, le CCV et la date de fin?

j’hallucine, là.<img data-src=" />









aureus a écrit :



J’ai toujours pas compris comment les codes PIN ont été dérobé, ni pourquoi ils étaient stockés.







Comme dit XMalek plus haut, il semble qu’ils utilisent la technique du ram-scrapper, c.a.d. qu’ils foutent un trojan dans les caisses des magasins qui va surveiller le moment très court où les infos de la CB sont en clair dans la RAM au moment de la transaction . Et hop le trojan envoie tout ça au C&C.


votre avatar







unCaillou a écrit :



Comme dit XMalek plus haut, il semble qu’ils utilisent la technique du ram-scrapper, c.a.d. qu’ils foutent un trojan dans les caisses des magasins qui va surveiller le moment très court où les infos de la CB sont en clair dans la RAM au moment de la transaction . Et hop le trojan envoie tout ça au C&C.





Vu le code dégueulasse qui tourne sur ces terminaux, ça m’étonne même pas qu’ils se soient fait violer.



Reste qu’il faut vraiment un paquet de failles pour faire ça, il suffit d’un terminal correcte (ok, j’en ai jamais vu en france, mais peut-être y a un constructeur correcte quelque part dans le monde qui en fait ?), d’un poste protégé (une protection en liste blanche suffit sur ce genre de poste…) ou d’un réseau surveillé (comment les infos ont pu être envoyé au C&C sans que ça gueule ?!).



C’est vraiment des branquignoles, j’espère qu’ils feront faillites (mes escuses aux familles toussa).


votre avatar

J’ adore les jugements à l’ emporte-pièce du genre “moi je ferai mieux, niveau sécurité que tous les autres etc.”.

Ces logiciels sont développés puis tout ça est géré par des gens comme vous et moi.

Faut arrêter de croire que des qu’ il y a une faille c’ est à cause d’ incapables….. sérieusement. Et pour commencer il faut toujours prendre le problème à la racine : que faire pour ne pas avoir besoin de stocker les numeros de cb, et vous éliminez toutes failles passées présentes et futures.






votre avatar







unCaillou a écrit :



Comme dit XMalek plus haut, il semble qu’ils utilisent la technique du ram-scrapper, c.a.d. qu’ils foutent un trojan dans les caisses des magasins qui va surveiller le moment très court où les infos de la CB sont en clair dans la RAM au moment de la transaction . Et hop le trojan envoie tout ça au C&C.





OK merci.

Donc pas de stockage du PIN, j’ai eu peur un moment. <img data-src=" />


votre avatar







iosys a écrit :



Ces logiciels sont développés puis tout ça est géré par des gens comme vous et moi.





C’est surtout une question de budget.



Beaucoup d’entreprises ont un budget sécurité à 0. Il ne s’agit pas d’erreur, ou qu’on ferait mieux, il s’agit que rien n’est fait. Il n’y a carrément pas d’admin ni de dev de dédié à la sécu, dans des boites où y a des infos personnelles et/ou bancaires qui sont stockés en grande quantité.



Donc perso je fait pas de jugement à l’emporte pièce, je rapporte ce que j’ai vu quand je suis passé dans ces boites. Il faut attendre un scandale pour qu’ils fassent un audit (cf la deuxième faille découverte plusieurs jours plus tard, et qui envoyait des données depuis des années…).







hellmut a écrit :



OK merci.

Donc pas de stockage du PIN, j’ai eu peur un moment. <img data-src=" />





Ils n’y ont jamais accès, le terminal ne le donne pas. Mais c’est à peu près la seule chose qu’il ne donne pas. En tout cas volontairement.


votre avatar







Bejarid a écrit :



Cette loi ne s’applique qu’en cas de manquement très grave. Pas si on sécurise à l’arrache (ce que beaucoup font). Du coup elle n’est jamais appliqué.



Les seuls à protéger les données correctement c’est ceux qui gère les paiements (banque + opérateurs bancaire comme Ingenico) mais derrière les utilisateurs ne protègent rien (magasins, d’automates de paiement, etc).





Ahahahahahahahah ahhhhhhhhhhhhhhh



Merci pour cette tranche de fou rire



Le problème c’est justement ceux qui gère les payements (en caisse pas les banques hein quoique y a des trucs bancaires illogiques avec les payements (corrigés la plupart cette année)





Ils n’y ont jamais accès, le terminal ne le donne pas. Mais c’est à peu près la seule chose qu’il ne donne pas. En tout cas volontairement.





Sauf que pas forcément, si ton terminal est un terminal “sans intelligence” ton pin circule (je ne donnerai pas plus de détail) mais heureusement il est depuis quelques années crypté…


votre avatar







iosys a écrit :



J’ adore les jugements à l’ emporte-pièce du genre “moi je ferai mieux, niveau sécurité que tous les autres etc.”.

Ces logiciels sont développés puis tout ça est géré par des gens comme vous et moi.

Faut arrêter de croire que des qu’ il y a une faille c’ est à cause d’ incapables….. sérieusement. Et pour commencer il faut toujours prendre le problème à la racine : que faire pour ne pas avoir besoin de stocker les numeros de cb, et vous éliminez toutes failles passées présentes et futures.



Y’avait des failles dans les codes de cryptages ce qui a permis de repasser les informations des cartes en clairs. Et c’est pas des types comme toi et moi qui choisissent les codes de cryptage. Fin p-e moi, un jour mais j’espère pas toi.



Que des informations de carte bleue soit récupérer ok, rien n’est inviolable de toute facon. Que des informations de sécurité soir lisibles sans utiliser 100 ans ou des fermes de calcul pendant plusieurs jours par carte, la on a un problème.



votre avatar







unCaillou a écrit :



Comme dit XMalek plus haut, il semble qu’ils utilisent la technique du ram-scrapper, c.a.d. qu’ils foutent un trojan dans les caisses des magasins qui va surveiller le moment très court où les infos de la CB sont en clair dans la RAM au moment de la transaction . Et hop le trojan envoie tout ça au C&C.





<img data-src=" />


votre avatar







XMalek a écrit :



Ahahahahahahahah ahhhhhhhhhhhhhhh



Merci pour cette tranche de fou rire



Le problème c’est justement ceux qui gère les payements (en caisse pas les banques hein quoique y a des trucs bancaires illogiques avec les payements (corrigés la plupart cette année)





Et sinon en français ça donne quoi ? Ou dans une autre langue, mais là j’ai essayé Google trad et il a pas reconnu la langue que t’utilise :(



PS: c’est le magasin qui est en cause, pas le réseau de paiement, c’est très rare qu’ils soient mit en cause (ils surveillent leur réseau, eux).


votre avatar







Bejarid a écrit :



Ils n’y ont jamais accès, le terminal ne le donne pas. Mais c’est à peu près la seule chose qu’il ne donne pas. En tout cas volontairement.







Cela est seulement vrai dans la cas d’une carte à puce. Mais aux US il se sont affranchie de la norme EMV, ils utilisent majoritairement la piste. Dans ce cas seul le serveur de la banque peut vérifier le PIN code. Le PIN doit donc transiter vers la caisse et être envoyé vers la banque.

Le terminal doit alors chiffrer la PIN saisi et le chiffrer (en général avec DUKPT) en utilisant une clef privée qui est stockée dans le terminal. Normalement le terminal répond à la norme PCI PED, ce qui rend le stockage des clefs privées très sûr.


votre avatar







Bejarid a écrit :



PS: c’est le magasin qui est en cause, pas le réseau de paiement, c’est très rare qu’ils soient mit en cause (ils surveillent leur réseau, eux) qu’ils rendent cela publique.





votre avatar

Aux USA, la plupart de leur CB ne sont pas à la norme EMV (qui est quand même assez fiable), et ils utilisent beaucoup le piste magnétique, contrairement à chez nous ou la puce est utilisé pour tout (sauf les péages).



Je ne connais pas la méthode avec laquelle ils ont réussi leur coup, mais je savait pas que les commerçants (la c’est une chaine de mag) stockaient les pistes magnétiques de leur client.

C’est sur qu’en plus si ils onts récupéré le code PIN…. (et surement revendus les dumps) c’est jackpot pour les gars qui ont piraté le système.



Chez nous on à encore le VBV ou le 3D Sécure qui peut protéger d’un achat frauduleux, mais aux usa apparemment ça ne se fait pas.

votre avatar







Koubiacz a écrit :



Aux USA, la plupart de leur CB ne sont pas à la norme EMV (qui est quand même assez fiable), et ils utilisent beaucoup le piste magnétique, contrairement à chez nous ou la puce est utilisé pour tout (sauf les péages).



Je ne connais pas la méthode avec laquelle ils ont réussi leur coup, mais je savait pas que les commerçants (la c’est une chaine de mag) stockaient les pistes magnétiques de leur client.

C’est sur qu’en plus si ils onts récupéré le code PIN…. (et surement revendus les dumps) c’est jackpot pour les gars qui ont piraté le système.



Chez nous on à encore le VBV ou le 3D Sécure qui peut protéger d’un achat frauduleux, mais aux usa apparemment ça ne se fait pas.





Enfin les sécurités sur internet… à partir du moment ou tu trouve un site qui ne les implémente pas, elles servent à rien et y’en a tout de même plus d’un à l’heure actuelle qui ne les utilise pas.


votre avatar







serik a écrit :



En même temps depuis le temps que l’on dit aux banques de mettre des systèmes de sécurité en place (genre 3D secure, mais il faudrait pouvoir imposer que les transactions passent par ce système, car pour l’instant c’est seulement le vendeur qui est protégé, pas le client!!!).

Et toutes ces fraudes ont des coûts qui sont répercutés in fine sur le consommateur final…









3D secure The méga blague !



LOL tu crois au père noël, c’est encore plus facile pour les hackers, plus besoin de justificatifs, un backdoor sur ton smartphone pour réceptionne et supprimer le SMS avec le code….. les victimes commence a fleurir sur les forums us <img data-src=" /> !



Dans un sens ce sont les pourris de banquier qui paye et non plus les E-commerçant <img data-src=" />


votre avatar







AnthoniF a écrit :



LOL tu crois au père noël, c’est encore plus facile pour les hackers, plus besoin de justificatifs, un backdoor sur ton smartphone pour réceptionne et supprimer le SMS avec le code….. les victimes commence a fleurir sur les forums us <img data-src=" /> !







Il faut quand même que le pirate infecte l’ordi d’une victime (ou une bdd d’un site en question) et le téléphone portable de la même personne en question.



Pour le peu que la personne ai un vieux portable ou n’installe jamais d’appli, ça va être difficile de se retrouver avec une backdoor.



Pour se faire prendre une merde sur son pc et sur son téléphone, il faut en vouloir, bon après il reste ingénierie sociale mais dire que une carte vbv / 3d secure est plus facile à pirater..





votre avatar







Bejarid a écrit :



Et sinon en français ça donne quoi ? Ou dans une autre langue, mais là j’ai essayé Google trad et il a pas reconnu la langue que t’utilise :(



PS: c’est le magasin qui est en cause, pas le réseau de paiement, c’est très rare qu’ils soient mit en cause (ils surveillent leur réseau, eux).







C’était du français, mais bon…



Et je le redis ce n’est clairement pas le magasin qui est toujours en cause. Un des intermédiaires de payement (je ne donnerai pas de nom pour ne pas provoquer de choses) a plusieurs défauts :





  • Il renvoie en clair les informations en cas de problème.

  • Il demande le numéro de carte en clair (oui oui ce n’est pas une blague… en clair..) ainsi qu’un numéro en clair sur un autre moyen de payement



  • L’arnaque à la russe actuelle (ceux qui travaillent dans le luxe parisien la connaisse bien) est 100% de la faute des banques, Elle sera corrigé dans le courant de cette année.

  • Les banques sont régulièrement “trop” bavardes.



  • Les systèmes de caisse efficaces (voir l’incident belge de Noel ou ce genre de système n’avait pas été activé) sont obligés d’utiliser un système de buffering via serveur (lequel stocke les données). Ce système est fourni par des intermédiaires certifiés par les banques. Il est malheureusement fréquent que c’est système ne soit pas ultra fiables, vor que ces systèmes stockent les données en clair.



    Voila ça te va comme exemples prouvant que non désolé ce n’est pas la faute des magasins si les intermédiaires de payement sont souvent bien foireux ? (et ne me dis pas “développer le votre”, ce n’est pas tolérer par les banques…)


votre avatar

Est-ce que vous êtes sûrs qu’il s’agit du cvv (ou ccv, ou cvvc, ou 42 autres termes possibles) qui est au dos de la carte, pas celui qui est sûr la bande magnétique ? (oui parce que nos amis banquiers ont le sens de l’humour, ils donnent le même nom à deux trucs distinct, bon deux trucs distincts qui ont la même fonction, mais pas dans le même contexte. L’un en magasin physique, l’autre en ligne. Internet ou téléphone aussi, ou n’importe quelle autre ligne ;-) )



Il me semble qu’ici c’est bien des gens qui ont utilisé leur carte dans un magasin physique, si j’ai bien suivi. Ou alors ça a évolué.

votre avatar







XMalek a écrit :



C’était du français, mais bon…







payements -&gt; paiements <img data-src=" />


votre avatar







tAran a écrit :



Euh.. quoi ? C’est marqué où ou ça vient de quel site que ça concerne les TPV ?



Parceque là, ce n’est pas juste l’emprunte de la carte qui a été volée, mais également des mails, numéros de téléphones, etc…







Carte de fidélité roxor. Tu donnes ton nom, ton email, ton téléphone. Tu as droit en retour à 0.42% de réduction sur 42% des produits. Et en bonus on lie chacun de tes achats à tes données persos, et au moyen de payement que tu as utilisé. Donc un achat physique peut tout à fait être lié à tes données personnelles. C’est GÉNIAL !


votre avatar







yoda222 a écrit :



Est-ce que vous êtes sûrs qu’il s’agit du cvv (ou ccv, ou cvvc, ou 42 autres termes possibles) qui est au dos de la carte, pas celui qui est sûr la bande magnétique ? (oui parce que nos amis banquiers ont le sens de l’humour, ils donnent le même nom à deux trucs distinct, bon deux trucs distincts qui ont la même fonction, mais pas dans le même contexte. L’un en magasin physique, l’autre en ligne. Internet ou téléphone aussi, ou n’importe quelle autre ligne ;-) )



Il me semble qu’ici c’est bien des gens qui ont utilisé leur carte dans un magasin physique, si j’ai bien suivi. Ou alors ça a évolué.







Sur la piste magnétique, il y a un ccv2 (cvv2). En France on a pas le droit de stocker cette valeur ni de l’imprimer, elle n’est utilisée que lors de la demande d’autorisation.


votre avatar







seblamb a écrit :



Sur la piste magnétique, il y a un ccv2 (cvv2). En France on a pas le droit de stocker cette valeur ni de l’imprimer, elle n’est utilisée que lors de la demande d’autorisation.





Que ce soit ici ou aux US, que ce soit le cvv1 ou le cvv2 (d’ailleurs je pense que celui de la piste magnétique c’est le 1, mais pas sûr) normalement il ne doit pas être stocké. Mais bon comme toujours, c’est la différence entre la théorie et la pratique, ou alors la brèche est très en amont dans leur système, avant la fin de la demande d’autorisation.



Mais personnellement, le piratage de la carte de crédit c’est pas ce qui me ferait le plus enrager (surtout dans un gros piratage, si on est trois pelés et deux tondus, c’est plus emmerdant, mais quand c’est des millions c’est plus simple de réclamer à sa banque…puis j’ai de la chance d’avoir des réserves, si on me pique jusqu’au plafond de ma carte, je ne suis pas dans le rouge, donc ça n’entrainerait pas trop de problèmes annexes, genre agios, blocage, mise en liste noire de tel ou tel organisme…) mais la perte de données personnelles, que “n’importe qui” puisse savoir ce que j’achète (déjà que mon supermarché le sache m’emmerde), mes coordonnées, toussa.


votre avatar

j’ai compris aussi (aux infos) que les cartes en question n’avaient même pas de date d’expiration, c’est vrai ?

votre avatar







chris_lo a écrit :



j’ai compris aussi (aux infos) que les cartes en question n’avaient même pas de date d’expiration, c’est vrai ?





Qu’est-ce que ça change ? Moi ça m’arrangerait de ne pas avoir de date d’expiration sur mes cartes. Quel est l’intérêt de ces dates d’expirations exactement ?


votre avatar







yoda222 a écrit :



Carte de fidélité roxor. Tu donnes ton nom, ton email, ton téléphone. Tu as droit en retour à 0.42% de réduction sur 42% des produits. Et en bonus on lie chacun de tes achats à tes données persos, et au moyen de payement que tu as utilisé. Donc un achat physique peut tout à fait être lié à tes données personnelles. C’est GÉNIAL !





Mais c’est vrai ! Merci de tes précisions <img data-src=" />


votre avatar







yoda222 a écrit :



Qu’est-ce que ça change ? Moi ça m’arrangerait de ne pas avoir de date d’expiration sur mes cartes. Quel est l’intérêt de ces dates d’expirations exactement ?







éviter un beau jour que des achats frauduleux apparaissent sur ton compte à cause d’une carte piratée y’a 5 ou 10 ans en arrière ? <img data-src=" />


votre avatar







chris_lo a écrit :



éviter un beau jour que des achats frauduleux apparaissent sur ton compte à cause d’une carte piratée y’a 5 ou 10 ans en arrière ? <img data-src=" />





La différence avec trois mois en arrière ? Deux ans ? (Puis de toute façon je ne reste jamais 5 ans dans le même pays /o\ )


votre avatar







Khalev a écrit :



Tu compiles avec quoi du coup?





CLang faut se mettre a jour :p


votre avatar







aureus a écrit :



des informations de sécurité soir lisibles sans utiliser 100 ans ou des fermes de calcul pendant plusieurs jours par carte, la on a un problème.





Ca va etre de plus en plus compliqué vu ce que l’on peut accomplir avec les nouvelles generation de fpga :)


votre avatar







khertan a écrit :



CLang faut se mettre a jour :p





C’est quoi la différence avec gcc?



Ou plutôt, en quoi gcc ça serait caca et Clang ça serait ok pour du “lean open source”.



Si tu veux un truc facile a étudier tu codes directement en assembleur, là au moins tu peux comparer facilement avec ce que tu as sur la machine réelle.


Target, Neiman Marcus : des millions de numéros de cartes bancaires dérobés

  • 40 millions de cartes bancaires piratées dans un premier temps 

  • 70 millions de personnes supplémentaires 

  • Une confiance à restaurer 

  • Neiman Marcus et trois autres enseignes touchées par des attaques 

Fermer