Le piratage de l’enseigne américaine Target met le RAM scraping sous les projecteurs

Le RAM scraping est mis sous les projecteurs ces derniers jours. Il s’agit en effet de la technique utilisée par les hackers à l’origine du vol des données bancaires de millions de clients de la chaîne américaine de supermarchés Target.

Les données de cartes bancaires transitant sur le réseau sont toujours chiffrées (normalement). Il est notamment fortement recommandé aux cyber-marchands de ne pas stocker les numéros de cartes bancaires des clients, mais de conserver à la place le hash du numéro, permettant de faire un contrôle à posteriori.

RAM_ScraperQu’est-ce qu’un hasch ? – Si vous savez ce qu’est un hasch, vous pouvez passer ce paragraphe. – Un hash est une « digestion » irréversible d’une chaine de caractères : on prend une chaîne de caractères, par exemple un mot de passe ou un numéro de carte de crédit, on le « digère » avec différents algorithmes, et on obtient une nouvelle chaîne de caractères. Il est impossible de revenir à la chaîne initiale en faisant des traitements sur le résultat.

Le résultat d’un hasch sur une chaîne de caractères est toujours le même. Donc quand vous entrez votre mot de passe dans une application, celui est « hasché » et le résultat est comparé au résultat du hasch stocké dans la base de données. Si les 2 chaînes de caractères sont identiques, vous avez entré le bon mot de passe. Ce mécanisme permet de vérifier vos mots de passe (ou numéros de cartes de crédit) sans avoir besoin de les stocker en clair. Ainsi, si la base de données est compromise, seuls les hashes des mots de passe seront disponibles, ce qui rend l’utilisation des données plus complexe.

Dans le cas de Target, les cyber-délinquants ont trouvé le maillon faible de la chaîne de transmission des données : la mémoire des caisses enregistreuses !

Lorsque les clients inséraient leurs cartes dans le terminal de paiement, ce dernier envoyait le numéro de carte à la caisse enregistreuse. Le numéro se retrouvait alors stocké dans la mémoire vive de la caisse. Le malware utilisé était conçu pour savoir exactement quoi chercher dans la mémoire vive des caisses, qu’il analysait pour trouver les précieuses informations. C’est ce procédé que l’on appelle le RAM Scraping.

Pour éviter cet incident, il aurait fallu que ce soit le hash de la carte, et non le numéro, qui arrive en mémoire ! Le problème aurait alors été reporté sur le terminal de paiement ayant besoin de lire le numéro « en clair » mais ces terminaux étant peu évolués, ils moins exposés aux cyber-attaques.

De plus, on peut se peut poser la question de la façon dont les données ont été exfiltrées. Est-ce que les caisses pouvaient accéder à internet ? Si oui, pour quelle(s) mauvaise(s) raison(s) ? Et pourquoi les ces flux sortants n’étaient-ils pas filtrés ? Si non, c’est donc que les attaquants avaient pris le contrôle en interne d’autres machines qu’ils ont utilisées pour exfiltrer les données. Cela met surtout en lumière que les attaques qui ont permis de prendre le contrôle de ces machines sont passées inaperçues.

Je pense que cet évènement va faire évoluer certains pré-requis de la norme PCI-DSS, le standard de sécurité des données pour les industries de carte de paiement. En effet, pour le moment, les données concernant les cartes de crédit doivent être chiffrées lorsqu’elles transitent sur les réseaux et lorsqu’elles sont stockées. Il y a fort à parier que cette exigence de chiffrement s’étende également à la mémoire. L’obligation d’être en mesure de détecter les attaques qui surviennent sur le réseau interne serait également une bonne chose.

Par ailleurs, plusieurs mesures permettent de limiter les risques d’intrusion :

  • Réduire les possibilités d’exploitation des vulnérabilités connues en maintenant les systèmes à jour et via un dispositif de virtual patching
  • Privilégier les mécanismes d’authentification à double facteur
  • Dans la mesure du possible, protéger les systèmes avec un antimalware ou utiliser un logiciel permettant de bloquer l’exécution des applications non autorisées
  • Gagner en visibilité sur les tentatives d’attaques sur le réseau interne (actuellement les entreprises sont dans l’incapacité de détecter en temps réel si des attaques ont lieu sur leur réseau interne). A noter : plus l’intrusion est détectée tôt, plus l’impact de l’attaque est limité. Notre solution Deep Discovery permet notamment d’analyser les fichiers suspects et de détecter les attaques ciblant le réseau interne.
  • Filtrer les flux sortants : nous nous focalisons depuis des années sur les flux entrants. Nous devons nous concentrer davantage sur les flux sortants pour minimiser les risques de fuites de données !

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.