•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Les systèmes de paiement de stations-service visés par des pirates

Une femme paie par carte à la pompe d'une station-service.

Visa explique que ce sont les informations de cartes à bande magnétique – et non de cartes à puce – qui ont été compromises lors de ces piratages.

Photo : getty images/istockphoto / IPGGutenbergUKLtd

Radio-Canada

Des pirates informatiques ont eu accès aux systèmes de paiement de plusieurs stations-service nord-américaines depuis l’été, leur donnant accès à des informations de cartes de crédit, selon ce qu'a révélé Visa dans une alerte de sécurité émise en fin de semaine. On ignore pour l’instant si des entreprises canadiennes ont été touchées.

Les trois incidents impliquaient tous des intrusions informatiques et non la technique commune du clonage, où la bande magnétique d’une carte de crédit est copiée à l’aide d’un dispositif inséré dans un terminal de paiement.

Dans une des intrusions rapportées l'été dernier, des pirates ont eu accès au système de point de vente (PDV) d’une station-service à l’aide d’un courriel d’hameçonnage qui installait un logiciel malveillant recueillant des données stockées en RAM sur le réseau du commerce.

Essentiellement, les terminaux dont se servent les clients aux pompes sont des ordinateurs, explique le chef de la cybersécurité aux Commissionnaires du Québec, Jean-Philippe Décarie-Mathieu. Un [logiciel malveillant de type] RAM scraper accède à la mémoire de ces ordinateurs-là, fait une copie des informations des cartes qui passent dedans et renvoie ces informations-là aux pirates.

Visa explique que ce sont les informations de cartes à bande magnétique – et non de cartes à puce – qui ont été compromises.

Les cartes à bande magnétique ne sont pas très sécuritaires, parce qu’elles ont des données statiques qui ne sont pas chiffrées par défaut. Avec une attaque comme ça, il est facile de trouver le numéro de carte, le NIP et d’autres informations. Une carte à puce, [...] c’est intrinsèquement chiffré, commente Jean-Philippe Décarie-Mathieu.

Deux autres incidents visant d’autres entreprises et impliquant ce même type de logiciel malveillant ont également eu lieu dans les derniers mois, mais Visa dit ignorer de quelle manière les pirates ont eu accès au système.

Visa suspecte fortement que ces attaques ont été perpétrées par le groupe cybercriminel FIN8, qui vise les industries du détail, de l’hospitalité et du divertissement depuis 2016.

Sécurité déficiente

On apprend dans l’alerte de sécurité que le système de paiement d’au moins l’une des entreprises visées n’était pas segmenté en plusieurs réseaux, l’une des pires méthodes de gestion de réseau qui existe, selon Jean-Philippe Décarie-Mathieu. 

Avoir une seule couche de protection ne va pas tout régler, donc c’est important d’en avoir plusieurs. C’est vraiment des choses de base, et en regardant ça, on se rend compte que ce n’est pas surprenant qu’il y ait eu des problèmes de sécurité, analyse l’expert en cybersécurité. 

Visa conseille d’ailleurs aux commerçants qui n’acceptent pas le paiement par carte à puce de mettre à jour leurs terminaux de paiement. Cela baisserait sensiblement la probabilité de ce type d’attaque, peut-on lire dans l’alerte de sécurité. 

Jean-Philippe Décarie-Mathieu note d’ailleurs que les cartes magnétiques sont bien plus communes aux États-Unis qu’au Canada, où lecteurs de cartes à puce sont la norme depuis  au moins une dizaine d’années.

Avec les informations de ZDNet, et Engadget

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

Cybercriminalité

Techno