Avant le week-end, IntelCrawler, une entreprise spécialisée en criminalité informatique, a révélé que des cybercriminels avaient volé les données de cartes de crédit de six autres distributeurs américains. Selon l'entreprise de sécurité, ils ont utilisé un malware similaire à celui qui a servi à voler les données de millions de clients de Target. Comme l'a déclaré le président de IntelCrawler Dan Clements, « ces conclusions sont le résultat d'une enquête menée sur des forums confidentiels où des cybercriminels s'échangent et se revendent des données et des outils de piratage ». Le nom des distributeurs touchés n'a pas été révélé publiquement, mais IntelCrawler va fournir des informations techniques relatives aux infractions à la police, a déclaré vendredi le président d'IntelCrawler à nos confrères d'IDG NS par téléphone.
IntelCrawler aurait aussi identifié l'auteur du logiciel malveillant à l'origine de ces vols de données : un jeune Russe de 17 ans prétend en effet avoir créé le malware BlackPOS, capable d'intercepter les données des cartes de paiement en clair après l'introduction de la carte dans le lecteur. Selon les experts en sécurité, c'est un malware basé sur BlackPOS qui est à l'origine du colossal vol de données chez Target. Selon les messages des forums passés au crible par IntelCrawler, l'adolescent, dont le pseudo en ligne est « ree4 », a vendu plus de 40 exemplaires de BlackPOS à des cybercriminels en Europe de l'Est et ailleurs. Dan Clements a précisé que l'entreprise de sécurité était sûre à « 90 % » de ses résultats basés autant sur les messages des forums et sur certains contacts que ses experts ont pu avoir avec des sources dans les forums. « Selon les messages, l'adolescent revend son malware 2 000 dollars où demande une part sur les bénéfices tirés des données de cartes de crédit volés », a ajouté le président d'IntelCrawler.
Le malware BlackPOS circule partout
Selon l'entreprise de sécurité, BlackPOS a également été échangé sur des sites comme .rescator, Track2.name et Privateservices.biz réputés pour vendre des informations de cartes de crédit volées. À l'origine, BlackPOS se nommait Kaptoxa, qui signifie pomme de terre en argot russe. Mais selon Dan Clements, le jeune pirate russe l'aurait rebaptisé en BlackPOS pour des raisons de marketing. Dans son rapport sur le piratage de Target publié la semaine dernière, l'entreprise de sécurité iSight Partners nomme l'attaque « Opération Kaptoxa ». Selon l'entreprise de Dallas, l'opération demandait des compétences très pointues pour accéder, sans se faire repérer, au réseau du distributeur.
Depuis le début de l'année 2013, IntelCrawler constate que sur les forums illégaux, la vente d'informations de connexion pour terminaux de point de vente est florissante, ce qui laisse penser que les cybercriminels trouvent encore des failles dans les recommandations de sécurité préconisées par l'industrie pour protéger les données inscrites sur les cartes de crédit. « Les cybercriminels vendent des identifiants pour accéder à distance aux terminaux de point de vente, et donc aux machines », indique encore Dan Clements. Très souvent, les mots de passe par défaut des terminaux localisés aux États-Unis, en Australie et au Canada n'avaient pas été modifiés », a-t-il ajouté. Mais dans d'autres cas, les cybercriminels ont réussi à trouver, après plusieurs essais, les bons noms d'utilisateur et leurs mots de passe associés - ce qu'on appelle une attaque par force brute - pour entrer sur le réseau ciblé.