Le cyber-braquage est la rançon de la « plastic money », le prix que doive payer les banques pour diminuer les coûts liés à la gestion du papier-monnaie. Si, la semaine passée, le monde de la sécurité numérique s’intéressait aux premiers pas des virus visant les DAB et GAB, ce lundi est, pour Brian Krebs, l’occasion de faire coup double en révélant deux braquages visant la grande distribution Nord Américaine.
Chez Dairy Queen tout d’abord, qui vient de découvrir que près de 400 de ses magasins étaient infectés par le virus Backoff spécialisé dans la récolte d’identifiants bancaires. La chaine de restauration rapide prévient ses clients six semaines après que le premier article publié par Brian Krebs ait signalé la très forte probabilité d’un piratage massif. Selon la Direction, « seuls » les noms, numéros de compte en banque et date d’expiration de la carte ont pu être détourné. Rien de très grave donc, puisqu’avec ce genre d’information, l’on est contraint de ne pouvoir acheter que ce que l’on peut trouver sur Internet, le code PIN étant inutile et la grande majorité des vendeurs ne vérifiant jamais le numéro CVV (même s’ils le demandent parfois). Et tout au plus les clients peuvent-ils également être la cible d’une attaque en phishing… pourquoi s’inquiéter ? Pour l’heure, aucune estimation du nombre de victimes potentielles n’a été publiée. Les 400 magasins infectés sont considérés par le Président de l’entreprise comme « un faible pourcentage du réseau de distribution US ».
Chez Kmart, autre grande chaine de distribution, c’est encore un virus, installé dans les terminaux point de vente, qui s’est mis à collectionner les numéros de carte de payement qui passaient à sa portée. Le bilan risque d’être excessivement lourd, car le problème n’a été décelé que très récemment. Or, les traces analysées laissent entendre que le malware est dans la place depuis le mois de septembre. Là encore, des brassées de numéros de compte ont été récupérées par le malware, mais le nom des possesseurs de cartes et clients a échappé au zèle du virus.
Tant l’affaire des virus DAB que ces deux récentes intrusions montrent une certaine évolution des techniques de piratage bancaire. Longtemps, les vols d’identités étaient la conséquence d’un accès distant (wifi, faille d’interface d’application Web) et d’une exploitation du système informatique du backoffice (faille SQL en règle général). Désormais, ce sont les front end, les équipements dédiés qui sont visés par des charges visant spécifiquement des appareils prétendument « inviolables, juré, craché, parole de banquier ». Si le « virus DAB » relève encore du fantasme de vendeur d’antivirus qui regarde d’un œil concupiscent l’émergence d’un nouveau marché potentiel, l’infection des TPV et des machines de facturation des grandes chaines de distribution est indiscutablement « mainstream ».
