Actualité

 

Vol des données des cartes de crédit

Publié le 09-02-2009 à 07:00:34 dans le thème Banque

Pays : International - Auteur : La rédaction


Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet


Note des lecteurs: 3.4/5

Point de vue : Douze règles pour empêcher le vol des données des cartes de crédit.

Pour protéger les porteurs de cartes de crédit, les principaux réseaux internationaux de cartes de paiement tels que Visa, Mastercard, American Express, JCB, Discover, etc., ont défini un standard de sécurité appelé PCI-DSS (Payment Card Industry - Data Security Standard). Désormais, toute entreprise stockant, communiquant et/ou traitant les données des cartes de paiement, c’est-à-dire tout commerçant adhérant à l’un de ces réseaux, tout fournisseur de service de paiement et tout organisme bancaire finalisant les transactions, doit mettre en place douze exigences (requirements) visant à sécuriser les systèmes d’information où les données des cartes sont conservées et manipulées.

Laurent Besset revient sur ce standard dans un Point de vue ci-après et, en particulier, sur l’Exigence 10 qui ordonne de ‘tracer’ et suivre l’accès aux données des porteurs et aux actifs informatiques « sous-jacents ».

Laurent Besset a 31 ans et est ingénieur, diplômé de l’Institut National de Télécommunications. Il est Spécialiste de la Gestion des processus métiers (BPM) et de l’Urbanisation des Systèmes d’Information. Après plusieurs expériences chez Siticom IS, Groupe Siticom et Dreamsoft, Groupe Solucom, il a rejoint I-Tracing, première société française dédiée à la traçabilité de l’information.

Les douze règles pour empêcher le vol des données des cartes de crédit
Applicable à toute entreprise dont le Système d’information héberge, transmet ou traite les données des porteurs de carte du groupement PCI-SSC (Visa, Mastercard, American Express, JCB, Discover, etc.), le standard PCI-DSS vise à garantir la sécurité de ces données.  Pour ce faire, il oblige, entre autres, les entreprises à systématiquement ‘tracer’ tous les accès aux données des porteurs de carte en s’appuyant principalement sur les différents journaux d’événements (ou logs) du S.I.
Un standard en douze points

Le PCI-DSS (Payment Card Industry - Data Security Standard) est un standard défini par le PCI - Security Standards Council (PCI-SSC) qui rassemble les principaux réseaux internationaux de cartes de paiement. Son objectif est la protection des données des porteurs de carte (numéro de carte, nom du porteur, date d’expiration, code de sécurité CAV2/CVC2/CCV2/CID, etc.). Il s’applique à toute entreprise stockant, communiquant ou/et traitant ces données à partir du moment où elles incluent le numéro de carte ou PAN (pour Primary Account Number).

La cible de ce standard couvre donc aussi bien les commerçants adhérant à l’un des différents réseaux, que les fournisseurs de service de paiement ou les organismes bancaires finalisant les transactions.

Le standard consiste en une série de douze exigences ou requirements visant à sécuriser les systèmes d’information dans lesquels les données des porteurs de carte sont conservées ou manipulées :

§         Exigence 1 : mettre en œuvre une architecture de firewalling pour contrôler les accès « réseau »,
§         Exigence 2 : ne pas utiliser les paramètres de sécurité par défaut des constructeurs/éditeurs (notamment les mots de passe),
§         Exigence 3 : protéger le stockage des données des porteurs,
§         Exigence 4 : chiffrer les communications de données sur les porteurs lorsqu’elles transitent par des réseaux publics,
§         Exigence 5 : utiliser et mettre à jour une protection antivirale,
§         Exigence 6 : sécuriser le développement et l’exploitation du S.I.
§         Exigence 7 : restreindre l’accès aux données sur les porteurs au strict minimum,
§         Exigence 8 : attribuer un identifiant unique à chaque utilisateur du S.I.
§         Exigence 9 : restreindre l’accès physique aux données sur les porteurs,
§         Exigence 10 : ‘tracer’ et suivre l’accès aux données des porteurs et aux actifs informatiques « sous-jacents »,
§         Exigence 11 : auditer régulièrement le S.I. et les processus,
§         Exigence 12 : mettre en œuvre une politique de sécurité du S.I.

Fonction du nombre de paiements de l’entreprise, la conformité au PCI-DSS doit faire l’objet d’une déclaration ou d’un audit externe et de scans réguliers du S.I. Les entreprises non conformes s’exposent à des amendes plus ou moins lourdes, voire à une interdiction de réaliser des paiements par carte.

Tracer les accès aux données des porteurs de cartes
L’exigence 10 du PCI-DSS part du principe qu’il est indispensable de disposer de traces fiables pour reconstituer l’activité d’un utilisateur au sein du S.I. contenant les données des porteurs de cartes ; et ce, dans une logique d’enquête a posteriori autant que d’analyse proactive.

Il prévoit donc la mise en œuvre d’un véritable système de traçabilité autour des données des porteurs. Ce système doit assurer la traçabilité « de bout en bout » de l’activité d’un utilisateur dans le S.I., i.e. tracer aussi bien au niveau des applications et bases de données que des infrastructures (système, réseau, sécurité du réseau, etc.). Il doit aussi garantir la fiabilité et la sécurité des traces prises. De manière plus précise, le requirement 10 demande l’activation de tout log nécessaire à la reconstruction des accès aux données des porteurs de cartes et des actions réalisées avec des privilèges de type « administrateur » dans le S.I. contenant les données des porteurs. Sont également nécessaires les logs retraçant les authentifications réussies et manquées, la création et la suppression d’objets de niveau « système » (exécutables, fichiers de configurations, DLL, etc.) ainsi que les consultations elles-mêmes des logs.

Les logs doivent être conservés au moins un an et accessibles « en ligne » pendant au moins trois mois. Mais, au-delà de la définition de ce qui doit être tracé et du temps de conservation des traces, le PCI-DSS se distingue de la plupart des autres obligations de traçabilité par son caractère très opérationnel. Il donne, en effet, des consignes relativement détaillées sur le cycle de vie des différentes traces et leur gestion :

§         Définition d’un contenu a minima du log : identification de l’utilisateur, type d’événement, timestamp , succès ou échec de l’opération, origine de l’événement, identification de la ressource/donnée/composant/application « cible »,
§         Nécessité de synchroniser les horloges des services de journalisation,
§         Nécessité de centraliser les différentes traces,
§         Protection des traces : contrôle d’intégrité, contrôle d’accès logique, ségrégation des droits, etc.
§         Mise en place de revues journalières des logs (notamment ceux des équipements de sécurité).

Quel impact sur la sécurité informatique des entreprises ?
Parce qu’il s’inscrit au final dans une optique très « ISO 27000 », le PCI-DSS n’est sans doute pas amené à bouleverser les démarches SSI déjà en place. Il se distingue cependant par un volet « traçabilité » beaucoup plus concret et précis que d’autres obligations réglementaires ou d’autres bonnes pratiques informatiques.

Si la gestion des traces est traditionnellement l’un des parents pauvres de la sécurité informatique, la large portée et la nature du PCI-DSS va sans nul doute accélérer la courbe d’apprentissage des DSI sur ce sujet, tant pour l’organisation (directives et procédures dédiées) que pour la technique (solutions de log management). (Laurent BESSET, I-TRACING)

 

Conseiller cet article Réagir RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Sur le même thème : Banque

Faille pour American Express

INFO ZATAZ - Prudence, une vulnérabilité sur le site d´American Express pourrait nuire à votre compte en banque.

Opération disaster today pour les banques britanniques

Pour préparer les Jeux Olympiques de 2012, les banques britanniques ont testé leurs résistances aux pirates informatiques, à la météo et aux bouchons autoroutiers.

Trop facile de pirater le Nasdaq

La cyber attaque qui a visé l´année dernière le NASDAQ a été facilitée par le manque de sécurité des boursicoteurs

Trois pirates de distributeurs de billets arrêtés

1500 personnes piratées, plus de 300.000 euros détournés. Trois pirates de cartes bancaires sous les verrous. ZATAZ.COm vous présente le matériel des pirates.

Un gang de pirates de données bancaires stoppé

INFO ZATAZ - Fin octobre, la police britannique a mis la main sur un réseau informatique pirate de données bancaires. Les pirates informatiques ont volé pour plus de 3.4 millions d'euros.

Bug informatique au Crédit Agricole... bis

Après avoir été débités deux fois, des clients sont crédités de l'argent trop perçu par la banque ... deux fois !

Un pirate de CB piégé par la boutique qu´il avait piraté

Un pirate de données bancaires se retrouve gagnant d´un faux jeu en ligne mis en place par la boutique qu´il avait escroqué quelques jours auparavant.

Piratage de carte bancaire : Skimmeur 3.0 est arrivé

Le piratage de carte bancaire passe à la vitesse supérieure. Une imprimante 3D utilisée dans le skimming de cartes de paiement.

Vos réactions ( 1 )

 Ecrit par Jos le 09.02.2009 à 07h43 

#

ZATAZien


Inscrit le 03-08-2007

Il suffit d´aller se promener en GB le week-end ou y transiter pour que toutes ces mesures perdent leur effectivité.
Ce que l´industrie innove, les organes gouvernementales le détruisent.

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

 



ZATAZ.COm, site recommandé par ORANGE.       ZATAZ.COM trois fois récompensé par Microsoft

Vigilants.fr veille informatique sur les réseaux.
VPN, connexion securisee, haut débit plus de 1000Ko/s, traffic illimité et sans filtrage de ports ni de protocoles, plusieurs adresses et pays différents - service disponible 24h/24h
Application iPhone et iPad ZATAZ, gratuite et sans publicité.
Application iPhone et iPad ZATAZ, gratuite et sans publicité.



Labs ZATAZ

CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Sa [...]

Modules Metasploit Auxiliaires MySQL

Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes S [...]

Modules Metasploit Auxiliaires PostgreSQL

Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et li [...]

CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le  19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazque [...]

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA