Retour sur 'the Target data breach', l'attaque de la chaine de magasins Target et le vol massif de données client qui avaient défrayé la chronique fin 2013. Avec un an de recul, nous pouvons mesurer les effets désastreux de la cyber-attaque, devenue désormais un cas d'école. En attendant que 'the Sony data breach' ne prenne sa place...
Rappelons tout d'abord les faits : entre approximativement le 15 novembre et le 17 décembre 2013, l'informatique de la chaine des magasins Target – 1.797 magasins aux Etats-Unis et un chiffre d'affaires 2013 de 71 milliards de dollars – a été victime d'une des pus grosses cyber-attaques que le monde ait connu.
Des hackers ont dérobé les données personnelles et bancaires de plus de 110 millions de clients des magasins. Données qui ont en partie été exploitées par les pirates (impossible dans l'état d'en connaître l'étendue !). Qui plus est intelligemment puisqu'ils ont évité de réaliser de gros coups, privilégiant des petites opérations d'achat ou de transfert de fonds de quelques dizaines à quelques centaines de dollars, ce qui explique qu'une partie va disparaître dans la masse.
La Cyber Kill Chain, l'attaque étape par étape
Les experts en sécurité de Lookheed Martin ont décortiqué de nombreuses attaques et présenté en mars 2011, lors de la sixième International Conference on Information Warfare & Security, un modèle d'attaque des cyber-hackers, nommé Cyber Kill Chain (que nous reproduisons ci-dessous) :
Loic Guezo, Directeur & Evangéliste de Trend micro, lors de la conférence du Clusif, a décrypté les différentes phases de l'attaque :
Pre-Breach : janvier 2013 – 15 novembre 2013
- 1er noeud : juin 2013 – août 2013
- 2ème noeud : septembre 2013
Data Breach : 15 novembre 2013 – 17 décembre 2013
- 3ème nœud
- 4ème, 5ème noeuds : 30 novembre 2013
- 6ème, 7ème noeuds : 17 décembre 2013
Post-Breach : 17 décembre 2013 – Présent
Les défauts de l'informatique de Target
L'enquête a démonté que l'informatique du groupe n'avait pas pris les mesures adéquates - et raisonnables – pour protéger le système d'information. Les mesures de sécurité déployées n'ont pas été en mesure de protéger les données personnelles et bancaires des clients. Le constat porte également sur un défaut de prévention et de réaction. Puis de divulgation de l'information auprès des clients, la loi américaine imposant aux organisations de prévenir les victimes des vols de données.
Les conséquences sur Target
110 millions de clients victimes du vol des données de Target à travers les Etats-Unis, le mal est considérable. Si le montant des sommes dérobées aux clients des magasins est une inconnue – seuls ceux qui se sont identifiés dans les poursuites civiles sont connus – les pertes pour la chaine ont été estimées à 1 milliard de dollars en chiffre d'affaires et 34 % de baisse des profits pour la seule année 2013, et à 4,2 milliards en perte de valeur boursière.
Ces chiffres ne sont pas définitifs, puisque plus de 80 poursuites au civil et class actions (procédure de plainte collective) ont été lancées. Il faudra attendre les rendus de la Justice américaine pour en mesurer les effets.
Un coût humain dramatique
Les pertes humaines sont également lourdes. Deux têtes sont tombées, le CIO (DSI) en mars 2014, et le CEO (PDG) en mai. 7 membres du board (conseil d'administration) sont également sur le sellette. Les répercussions commerciales de la cyber-attaque sur l'image de la chaine ont également entrainé des dommages collatéraux : plusieurs magasins ont été fermés, et des effectifs réduits. Le bilan humain à l'échelle de l'entreprise est ici considérable. Et il est sans compter les victimes ultérieures des pirates...
Le dernier point là encore non mesuré, cela se fera dans le temps, c'est la perte d'image de la marque. Sachant que le dossier n'est pas prêt de se refermer, au vu des procédures en cours. Et des fichiers piratés qui vont trainer longtemps encore sur le web, car les données de comptes de particuliers sont aujourd'hui une denrée commerciale rentable et recherchée par les pirates…
Prochain dossier : Sony
Au final, le bilan est lourd pour une démarche de sécurité qui semble avoir été prise à la légère par les équipes de la DSI de Target… Et de la direction générale ? La question reste posée. Un bilan négatif que l'on va probablement retrouver chez Sony. Un nouveau cas d'école à venir, où là encore les hackers ont su exploiter la plus grande faille des SI, l'humain. Dans le cas de Sony, un CIO qui n'a stratégiquement pas souhaité trop investir dans la sécurité, pour un risque qu'il a largement sous-estimé.
Petite différence notable chez Sony, le goupe a mis moins de temps pour débarquer son DSI…