Heartland : comme TJX… mais en plus grand

Actualités - Fuite d'information - Posté on 22 Jan 2009 at 8:08 par Solange Belkhayat-Fuchs

david-mcnearyQui n’a pas déjà entendu parler du « scandale Heartland » ? Cet intermédiaire bancaire américain, dont près de 40% du volume de transaction est réalisé par de petites et moyennes structures (restaurants, boutiques etc), aurait été victime d’un « hack du siècle » ayant permis l’installation d’un programme actif au sein même des ses ordinateurs. Comment opérait ledit programme, quand a-t-il été probablement installé, comment est-il entré, (insider, injection, à quel niveau ?) combien de transactions ont-elles été compromises, depuis combien de temps les faits étaient réellement connus des dirigeants… ? Aucune information sérieuse ne filtre. La presse, les consommateurs, les clients mêmes sont dans l’ignorance totale de l’étendu du problème.

Le Post s’étend largement sur le sujet. Un chiffre donne la chaire de poule : Heartland compte 250 000 clients. Un quart de million de commerces, d’entités commerciales, qui chacun doit traiter les comptes de centaines, de milliers d’acheteurs toutes les semaines. Ce sont donc potentiellement plusieurs centaines de millions d’opérations de cartes de crédit qui auraient pu être trafiquées. Ou peut-être considérablement moins. Security Focus, le Reg, Security News, HNS, tout comme la direction de l’entreprise, insistent sur le fait que les « Social Security numbers, unencrypted personal identification numbers (PIN), addresses or telephone numbers were involved in the breach ». Ce qui veut dire implicitement que les voleurs sont très probablement en possession des noms, numéros de compte, dates d’expiration de carte des victimes. Un site web monté par l’intermédiaire financier pour les besoins de la cause, accompagné d’une Foire Aux Questions, ne donne pas plus d’information. Une chose est au moins certaine : dans le domaine de la maîtrise des fuites d’information, le DirCom semble plus compétent que le CTO et que la DSI. Il sera intéressant de voir si, en ces périodes de troubles économiques et de passage aux normes PCI-dss, ce faux-pas sera, à l’instar de CardSystems, fatal à cet intermédiaire.

Laisser une réponse