Les numéros de cartes de crédit volées aux millions de clients du distributeur Target ont beaucoup voyagé : après une première étape aux États-Unis, les données ont atterri sur un serveur basé en Russie. Des chercheurs de deux entreprises de sécurité chargés d'enquêter sur l'une des violations de données les plus dévastatrices de l'histoire d'Internet, ont analysé le malware qui a infecté les caisses enregistreuses de Target. Ceux-ci ont trouvé quelques éléments qui permettent de mieux cerner la méthode d'attaque utilisée par les pirates. Selon leurs premiers résultats, les attaquants ont réussi à s'introduire dans le réseau de Target. Pendant plus de deux semaines, ils ont pu pirater des données sans se faire repérer. « Selon les indicateurs d'intrusion, la méthode utilisée témoigne d'un haut niveau de compétence et d'innovation dans le mode opératoire », indique dans son rapport du 14 janvier l'entreprise de sécurité iSight Partners, basée à Dallas.
« Pendant plus de deux semaines, le malware a permis aux pirates de détourner plus de 11 Go de données des caisses enregistreuses de Target », a déclaré Aviv Raff, CTO de la société de sécurité Seculert dans une interview réalisée hier par messagerie instantanée avec nos confrères d'IDG (auquel Le Monde Informatique est toujours affilié). Seculert a analysé un échantillon du malware (il circule parmi les chercheurs en sécurité). Comme le détaille Seculert sur son blog, dans un premier temps, les données ont été discrètement déplacées vers un autre serveur situé sur le réseau de Target. « Ensuite, elles ont été transmises en paquets vers un serveur basé aux États-Unis, lui-même détourné par les pirates », a écrit le CTO de Seculert. Selon les logs de ce serveur, à partir du 2 décembre, les données ont été à nouveau déplacées, direction cette fois, un serveur situé en Russie. Selon Aviv Raff, il est difficile de dire si les attaquants sont eux-mêmes en Russie. « Personne ne sait qui est vraiment derrière tout ça », a-t-il déclaré.
Une opération très bien préparéeÂ
De son côté, ISight travaille avec les services secrets américains pour décortiquer la fuite de données depuis le réseau de Target. Entre le 27 novembre et le 15 décembre 2013, une des périodes commerciales parmi les plus actives de l'année, les pirates auraient volé les données personnelles et les données bancaires de plus de 110 millions de personnes. Jeudi, un porte-parole du ministère de la Sécurité intérieure des États-Unis a déclaré que les informations contenues dans le rapport distinct établi par iSight et les agences gouvernementales sur la fuite de données de Target ne pouvaient pas être rendues publiques. Target n'a pas non plus révélé comment les intrus avaient pu pénétrer son réseau, mais le distributeur a déclaré que ses terminaux de paiement avaient été infectés par des logiciels malveillants.
Dans son analyse du 14 janvier, iSight a écrit que le malware « Trojan.POSRAM » avait réussi à collecter les informations des cartes de paiement en clair juste après son intrusion sur le réseau de Target et après s'être installé dans la RAM d'une caisse enregistreuse. Le malware utilisé est connu sous le nom de RAM scraper (racleur de RAM). « Le code du malware « Trojan.POSRAM » ressemble beaucoup à celui de « BlackPOS », un autre malware qui cible les terminaux de point de vente », a écrit iSight. BlackPOS a servi à des attaques dès mars 2013. Au moment de sa découverte, « le taux de détection du Trojan.POSRAM par les antivirus était de 0 %, ce qui signifie que les moteurs antivirus tout à fait à jour sur des ordinateurs entièrement patchés ne pouvaient pas identifier Trojan.POSRAM comme logiciel malveillant », a déclaré iSight.
Une nouvelle méthode d'attaque
Couramment, les pirates modifient légèrement le code des logiciels malveillants pour les rendre indétectables aux produits de sécurité, et c'est semble-t-il ce qui s'est passé avec Trojan.POSRAM. « Mais, si Trojan.POSRAM et BlackPOS sont bien similaires, le malware qui a visé Target utilise une nouvelle méthode d'attaque qui lui a permis d'échapper à toute détection et de dissimuler les transferts de données, ce qui le rend encore plus difficile à détecter », explique encore iSight sur son site Web. « La mésaventure de Target montre à quel point il est difficile de défendre de grands réseaux connectés à Internet », a déclaré Levi Gundert, un ancien agent des services secrets, désormais en charge de la recherche, de l'analyse et de la communication sur les menaces chez Cisco. « Il est quasiment impossible d'empêcher un accès non autorisé au réseau », a-t-il déclaré dans un entretien téléphonique.