Les secrets de la prévention des attaques de points de vente

Le récent cybercambriolage de l’enseigne Target au cours duquel des dizaines de millions de numéros de carte de crédit ont été retirés du système de terminaux de point de vente...
David Gibson
4 minute de lecture
Dernière mise à jour 28 octobre 2021

Le récent cybercambriolage de l’enseigne Target au cours duquel des dizaines de millions de numéros de carte de crédit ont été retirés du système de terminaux de point de vente d’un grand détaillant comporte encore une large part de mystère. Mais nous en apprenons davantage chaque jour. Le toujours indispensable Krebs constitue un bon point de départ pour obtenir des informations générales et une spéculation très éclairée. Il existe de bonnes raisons de croire (sur rien de moins que la base d’une analyse du FBI) que certains des logiciels malveillants et techniques utilisés remontent à 2011 au moins. Les pirates ont exploité une lacune dans la conformité PCI du système informatique du détaillant (techniquement conforme au moment du dernier audit), à un niveau où la bande magnétique de la carte de crédit ou piste de données n’était pas encore chiffrée : sur le terminal même du PDV. L’avis du FBI n’offre aucune nouvelle encourageante : selon lui, ce type d’attaque ne fera qu’augmenter dans un avenir proche.

Cependant, tous ceux qui ont déjà vu un film classique de cambriolage physique savent que les criminels font souvent une gaffe, non pas en entrant dans la chambre forte, mais quand il leur faut rejoindre leur cachette avec l’or, les bijoux, les œuvres d’art ou les espèces, sans se faire prendre ni laisser d’indice. Si un logiciel de surveillance d’accès aux fichiers avait été mis en place, cela aurait été très probablement le cas lors de cet incident particulier.

À la fin du mois de janvier, la SecureWorks Counter Threat Unit de Dell a publié son propre rapport. Celui-ci est principalement issu de son expérience des codes malveillants de PDV similaires et du peu d’information publique disponible à propos de cet incident. Ceux qui sont plus orientés vers le code peuvent parcourir le rapport pour y trouver un descriptif du RAM scraper utilisé pour aspirer les numéros de carte de crédit. Les scrapers sont considérés comme le fond du panier des APT en raison de leur simplicité, mais les experts estiment que cette variante est plus avancée.

Un article paru dans le New York Times explique comment les cybervoleurs ont commis l’effraction, au moyen d’un « accès distant accordé par le logiciel de climatisation du détaillant ». L’article du Times poursuit : « La cible n’a pas indiqué si ses fournisseurs sont tenus d’utiliser l’authentification à deux facteurs ». Les attaquants auraient certainement éprouvé beaucoup plus de difficultés à entrer si l’authentification à deux facteurs avait déjà été mise en place. Nous en entendrons peut-être plus à ce sujet au cours des prochains jours.

Une fois à l’intérieur, les cambrioleurs ont soit intégré leur RAM scraper sur des terminaux PDV individuels, soit sur un serveur central vers lequel les transactions de carte de crédit de nombreux terminaux étaient acheminées.

Le scraper a pu obtenir l’accès au moyen d’un nom d’utilisateur et d’un mot de passe par défaut de niveau administrateur appartenant à un autre logiciel que les pirates savaient installé dans l’environnement du détaillant.

Voici venu le bon moment pour souligner que vous devez toujours modifier ces paramètres par défaut lors de l’installation d’un progiciel. Telle que nous comprenons la situation, cette attaque de PDV aurait été bloquée si cette étape essentielle avait été suivie (erreur n° 2).

Un RAM scraper de ce type a probablement et tout simplement recueilli une liste de processus en cours d’exécution sur le terminal de PDV ou le serveur de PDV. Puis il a utilisé un appel système Windows (CreateToolhelp32Snapshot) pour regarder dans le segment de mémoire de chaque processus. Le scraper a alors effectué une recherche en mode texte d’informations de piste brutes. La bande de malfaiteurs disposait de détails techniques à ce sujet. Après avoir trouvé un modèle correspondant, le logiciel malveillant a chiffré les numéros et les a stockés pour transfert ultérieur. En fait, il ne s’agit encore que de piratage de base.

Ainsi, les voleurs sont entrés dans la chambre forte. L’astuce est maintenant de sortir sans être détecté. En fin de compte, des millions de numéros de carte de crédit ont été exfiltrés. Il n’est pas surprenant qu’il y ait encore des incertitudes quant à la manière dont cela a été accompli, peut-être par POST HTTP ou, comme certains le suggèrent, par paquets DNS sortants. En d’autres termes, une application de surveillance de sécurité du réseau à la recherche des suspects habituels, à savoir FTP, aurait probablement manqué le coche.
Cependant, pour déplacer latéralement les numéros de carte de crédit du scraper vers l’exfiltrateur, le groupe SecureWorks estime que le RAM scraper les a périodiquement vidés dans un fichier, puis a monté à distance le dossier du fichier vers un autre serveur que l’exfiltrateur avait compromis.

Voici une troisième occasion manquée. Si le détaillant avait disposé d’un logiciel de supervision des fichiers afin de repérer les pics d’activité ou autres comportements atypiques (des millions de numéros de carte de crédit écrits dans des fichiers), les voleurs auraient pu être remarqués très rapidement.

Nous constatons donc ici un modèle familier : une défaillance d’authentification (ou deux), une escalade de privilèges et des contrôles de détection inadéquats, à savoir l’absence d’audit et d’alerte relatifs au système de fichiers. De plus, nous devons nous demander si le système de CVC avait vraiment besoin de se trouver sur le même réseau logique que les systèmes de PDV.

Cette violation (et d’autres qui lui sont similaires) aurait vraiment pu être arrêtée ou rendue beaucoup plus difficile si l’une au moins de ces questions avait été abordée. Mais n’accordez pas trop d’importance aux contrôles préventifs. Nous apprenons qu’il est préférable de présumer que les méchants entreront, ou même de se préparer comme s’ils se trouvaient déjà à l’intérieur.

Un simple changement de perspective, de la surveillance des attaques au niveau du périmètre (aux points d’entrée et de sortie habituels) à l’observation de ce qui se passe à l’intérieur de la place (à savoir des métadonnées des fichiers) ferait toute la différence, en particulier dans le cas de portes dérobées dont vous ne connaissez pas l’existence.

The post Les secrets de la prévention des attaques de points de vente appeared first on Varonis Français.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

placez-la-migration-de-données-sur-votre-liste-de-projets-informatiques-de-cet-automne
Placez la migration de données sur votre liste de projets informatiques de cet automne
d’Andy Green Aux États-Unis, le week-end de la Fête du travail marque le passage entre les vacances de fin d’été et le début du retour au travail sérieux. Tandis que...
modèle-de-sécurité-zéro-confiance-:-un-excellent-moyen-de-renforcer-la-protection-des-données
Modèle de sécurité Zéro confiance : un excellent moyen de renforcer la protection des données
« Les utilisateurs à l’intérieur d’un réseau ne sont pas plus dignes de confiance que les utilisateurs à l’extérieur du réseau. » Cette citation de l’Oversight and Government Reform Committee...
les-données-de-votre-système-d’audit-prennent-trop-de-place-?-lisez-la-suite…
Les données de votre système d’audit prennent trop de place ? Lisez la suite…
Par David Gibson A l’occasion du Data Connectors à Houston, j’ai eu le privilège de parler des solutions contre les risques liés à la sécurité des données. Une question récurrente...
explication-détaillée-de-la-dspm :-démystifier-cinq-fausses-idées-sur-la-sécurité-des-données
Explication détaillée de la DSPM : démystifier cinq fausses idées sur la sécurité des données
Le sigle du moment est DSPM dans le domaine de la cybersécurité. Toutefois, sa récente popularité s’accompagne d’une certaine confusion à propos de ce que recouvre la gestion de la posture en matière de sécurité des données. Il est temps de le démystifier.