Skip to content
Retour aux chroniques
#distribution#malware-pos#supply-chain

Target 2013

Quarante millions de cartes bancaires ont quitté les caisses de Target par une connexion réseau réservée au sous-traitant de chauffage.

Cyber Chronicle2 min de lecture

Le journaliste Brian Krebs sort l’affaire mi-décembre 2013, avant même que Target ne l’ait reconnue publiquement. En une semaine, Target confirme que quelque quarante millions de cartes de paiement ont été compromises au niveau des terminaux de caisse de ses magasins américains, au pic de la saison des achats de Noël.

Un chemin qui commence chez le chauffagiste

Le point d’entrée n’est même pas un système de Target. C’est Fazio Mechanical, un petit sous-traitant pennsylvanien en chauffage, ventilation et climatisation, qui dispose d’un accès au portail fournisseur de Target pour la facturation et le suivi de projet. Les attaquants compromettent d’abord Fazio — apparemment via un email de phishing classique chargé du cheval de Troie bancaire Citadel — puis utilisent les identifiants ainsi obtenus pour rebondir dans le réseau de Target.

Une fois à l’intérieur, ils installent un malware de scrutation de mémoire sur les terminaux de caisse. À chaque passage de carte, le malware récolte les données de piste non chiffrées en RAM avant que le processeur de paiement ne les chiffre pour transmission. Les données capturées remontent vers un serveur de relais dans le réseau de Target lui-même, puis vers des points de chute en Europe de l’Est.

Un nouveau rôle au comité exécutif

Le PDG et le DSI de Target démissionnent dans les mois qui suivent. Les réseaux de paiement accélèrent un déploiement de cartes à puce aux États-Unis qui traînait depuis des années. Les distributeurs découvrent l’expression « gestion du risque fournisseur » et commencent à poser à leurs sous-traitants tiers des questions inconfortables sur la segmentation réseau.

Ce que la chronique retient

Target est le piratage qui a fait de l’attaque par la chaîne d’approvisionnement une question de conseil d’administration dans la distribution. Le sous-traitant de chauffage est devenu l’exemple canonique, repris dans les formations de sensibilisation pendant des années, d’une petite entreprise sans rapport servant de point d’entrée tendre vers une Fortune 50.