Mercredi 21 janvier 2009 à 5h45
Les opérateurs de carte de crédit disent que des données auraient été volées
Heartland Payment Systems, une importante entreprise de traitement de paiement, a révélé que, lundi, une attaque du système de données aurait potentiellement exposé des dizaines de millions de titulaires de cartes de débit et de crédit à un risque de fraude dans ce qui pourrait rapidement devenir l'une des plus grandes attaques sur les données que le pays aurait connu. HB Robert Baldwin Jr., président de Heartland et chef de la direction financière, a déclaré que sa société estime que les numéros des cartes, les dates d'expiration et, dans certains cas, les noms des titulaires de la carte ont été exposés à des attaques sur ses systèmes informatiques, au point que ces données auraient été décryptées.
Quand les consommateurs glissent leurs cartes, un logiciel appelé sniffer saisie les données pendant que Heartland procède à l'autorisation de paiement auprès des grandes entreprises et des banques. Les clients de Visa, MasterCard, American Express et Discover Financial sont tous vulnérables. "Nous sommes leader de l'industrie, de cryptage, mais les données doivent être en clair au moment de demander l'information", a dit M. Baldwin. "Le sniffer est en mesure de saisir les données à ce point de l’autorisation."
Les voleurs ont mis en place le logiciel sniffer dès le mois de mai, mais Heartland n'a pas détecté la violation du système avant l’activité de la fin de l'automne. Les données personnelles de 600 millions ou plus de détenteurs de cartes sont vulnérables, mais les spécialistes de la sécurité pensent que beaucoup moins de données de comptes ont été extraites. D'autres informations confidentielles, comme les codes de sécurité, n'auraient pas été touchées. Cela pourrait limiter les dommages.
Mais même ainsi, cette attaque pourrait rivaliser avec certains des plus grands vols de données. En Janvier 2007, la chaîne de magasins discount TJX avait révélé que les données de plus de 45 millions de clients avait été compromise. Et 40 millions de comptes de cartes ont été exposés en 2005 de chez un petit processeur de paiement, CardSystem Solutions.
Avivah Litan, un analyste de la sécurité des données, a dit que le cœur de la violation peut entrainer des centaines de millions de dollars de pertes et autres frais. "Si vous ajoutez tout cela, y compris les frais juridiques, il pourrait y avoir plus d'un demi-milliard de dollars de pertes - soit deux fois plus que TJX," dit-elle.
M. Baldwin a déclaré que les services secrets enquêtant sur la violation ont suggéré que les voleurs impliqué dans l'attaque pourraient faire partie d'un « anneau de hackers » qui sont en train d'introduire des attaques dans un certain nombre de systèmes d'institutions financières".
Le cas Heartland a également démontré qu’en dépit de l'adoption de normes plus rigoureuses et du renforcement de la surveillance par les banques et les sociétés de cartes de crédit, les consommateurs sont toujours vulnérables. Tout ceci se passe après que les entreprises de cartes de crédits et les commerçants aient dépensé plus de 2 milliards $ sur l'établissement des normes dans l'industrie des cartes de paiement, a déclaré Mme Litan. "Et pourtant, les attaques continuent, et elles ont encore plus graves."
Heartland, basée à Princeton, New Jersey, travaille avec environ 175.000 petits commerçants et traitent environ 100 millions de transactions par mois. Elle a créé un site Web, http://www.2008breach.com afin de fournir des informations sur l'incident. Les titulaires de carte ne sont pas responsables pour des charges non autorisées et frauduleuses.
Source : Article de ERIC DASH et BRAD STONE - The New York Times
Traduction : Melvine en action
