Target, encore beaucoup d’interrogations …

Vendredi 10 janvier 2014, Target a annoncé que des données additionnelles avaient été perdues par rapport à leur annonce précédente du 19 décembre 2013. Le même jour, il est en outre mentionné que Neiman Marcus avaient vu des informations de paiement (debit, credit) volées…

Ces informations rendent la situation confuse, pour le moins.

Quelques points à retenir :

  • Il ne s’agit pas d’une nouvelle brèche de sécurité, mais bien d’un complément d’information apporté après une analyse plus poussée de l’incident de décembre : l’alarme a retentit une fois en décembre, mais l’inventaire des vols continue pendant les soldes…
    • 40 millions d’information sur des cartes de paiement  (volés entre le 27 novembre et le 15 décembre),
    • 70 millions d’enregistrements personnels le 10 janvier 2014 (nom, adresse, email, telephone, …)
    • selon le rapport final, 100 millions de personnes seraient concernés (il y a une intersection non vide entre ces deux premiers ensembles)
    • Cela représente 1/3 des ménages américains selon le Wahington Post.
  • En réponse, Target propose une offre gratuite de credit monitoring à ces clients. De nombreux achats frauduleux ayant été identifiés depuis… Pas de précision sur l’accompagnement apporté aux  victimes de vol de données de janvier 2014, qui ne seraient pas clients de la période décembre 2013…
  •  Pour Neiman Marcus, une enquête des Services Secrets américains est en cours, mais aucun autre détail majeur n’a filtré jusqu’à ce jour.

2 questions restent en suspens et devraient être éclairées par les prochains développements :

  • Quel est a été le mode opératoire permettant d’arriver à un tel volume de données sensibles exposé ? L’accent est mis aujourd’hui sur le RAM Scrapping mais on ne peut plus ne pas envisager une complicité frauduleuse interne.
  • Aucune réaction du consortium PCI SCC qui applique le référentiel de sécurité, a priori central ici : PCI DSS.

Aller au-delà du chiffrement pour le Cloud

Une solution de chiffrement doit-elle se contenter de chiffrer des données ? C’est la politique de nombreux outils de chiffrement du marché. Mais sur le terrain, force est de constater que nombre d’entreprises ne résument pas leur sécurité du Cloud au chiffrement.

Bien sûr, un chiffrement selon les standards du marché reste essentiel. Mais au sein des Cloud Publics mutualisés entre plusieurs clients (multi-tenant), ou face à la mutualisation des ressources d’un Cloud privé entre différents départements d’une entreprise, la gestion des clés de chiffrement participe tout autant à sécuriser les données.

Lire la suite