mardi 21 janvier 2014

Les hackers s'attaquent à la grande distribution: les Belges à l'abri

En Belgique, les clients sont en principe à l'abri d'une gigantesque fraude.
Le piratage à grande échelle de la chaîne de distribution américaine Target interpelle par son ampleur. Au total, les données bancaires et personnelles de 110 millions de clients ont été subtilisées. Du jamais vu ! Une situation qui inquiète les autorités américaines qui ont fourni aux géants du secteur une série d’informations en vue d’identifier d’éventuelles nouvelles attaques informatiques visant leurs bases de données, au mieux de tenter de les déjouer. Car le cas de Target - s’il reste exceptionnel - n’est cependant pas un cas isolé. D’autres enseignes de premier plan ont été visées récemment. Les récents piratages ont eu lieu à l’aide d’un cheval de Troie, un virus qui s’insère dans les systèmes informatiques à l’insu des utilisateurs et qui permet aux "hackers" d’avoir accès aux données présentes dans la mémoire vive des ordinateurs, où elles ne sont pas cryptées.

Les clients belges bien protégés
Et en Belgique, le secteur de la grande distribution est-il armé pour faire face à ce type d’intrusion ? Le consommateur peut-il dormir sur ses deux oreilles ? Du côté de Comeos, on se montre rassurant. "Ce qui s’est passé avec Target n’est pas un problème de commerce mais un problème de sécurité de l’industrie du paiement aux Etats-Unis. En Belgique, les transactions et les transferts de données sont bien protégés et nous sommes globalement à l’abri contre ce type de fraudes. Le niveau de protection est supérieur à la moyenne mondiale, ce qui ne veut pas dire que toute fraude est évidemment impossible mais le taux de fraude reste chez nous très bas par rapport aux volumes des transactions et certaines de ses fraudes s’expliquent par le manque de prudence de certains consommateurs", explique Peter Haegeman, économiste en chef chez Comeos. Et de mettre en avant les investissements du secteur de la distribution dans de nouveaux logiciels ou protocoles de sécurité couplés à la mise à jour des terminaux bancaires et des caisses dans les points de vente pour encore améliorer la sécurisation des flux financiers et des informations liées au consommateur final. "Il y a pas mal de filets de sécurité pour décourager les malfaiteurs", ajoute encore Haegeman. "Par exemple, il y a quelques années, sur le ticket de caisse, on pouvait trouver des informations comme le nom ou le numéro de compte bancaire du client. Ce n’est plus le cas aujourd’hui: ces références ne sont plus complètes."
De son côté, Olivier Bogaert, commissaire à la Computer Crime Unit (Police judiciaire fédérale de Bruxelles), est également d’avis que nous sommes, en principe, à l’abri en Belgique d’une gigantesque fraude type Target : "L’avantage en Belgique, c’est que pas mal d’entreprises qui font du commerce en ligne passent par l’intermédiaire de sociétés spécialisées comme Ogone. C’est Ogone qui au terme de la transaction signale au site de vente en ligne que le paiement a bien été reçu au profit du fournisseur : un processus spécifique est donc prévu pour la transaction. Nous n’avons donc pas de croisement d’informations sur les mêmes serveurs mais les choses sont, au contraire, cloisonnées, ce qui améliore la sécurité des données." Aux Etats-Unis par contre, précise notre interlocuteur, on peut encore effectuer des paiements en ligne en donnant un simple numéro de carte de crédit, sans introduire un code de confirmation comme c’est le cas chez nous ou sans utiliser le "digipass" qui va générer un code. "C’est un processus qui nous met beaucoup plus à l’abri en Belgique contre certaines fraudes." Et d’ajouter : "Si sur le serveur d’un commerçant en ligne se retrouve à la fois la mise à disposition des produits par l’intermédiaire d’un site commercial et la finalisation des transactions, il y a un risque qu’il soit impacté par un virus type ‘cheval de Troie’ qui récupérera alors les données des clients. Mais en Belgique - dans la plupart des cas - on a d’une part un site commercial et d’autre part les serveurs du site de paiement en ligne qui finalement reçevront un code, un montant et une réponse formulée par le Digipass. Sur le site de paiement en ligne, à part des codes et des chiffres, les ‘hackers’ ne pourront pas savoir à qui ils correspondent. C’est le site commercial qui le sait car le client y a introduit ses données de facturation. Donc si le fraudeur pirate le site commercial, il aurait accès aux données du client mais pas à ses données de paiement et s’il parvenait à accéder au site de paiement en ligne, il aurait accès à des chiffres mais qui seraient totalement inexploitables."
Olivier Bogaert ajoute que les cartes bancaires à puce sont nettement plus sûres que le système précédent, celui des pistes magnétiques, toujours largement utilisé aux Etats-Unis. "Pour le pirate, mettre en place un dispositif qui permette de lire la puce, c’est nettement plus complexe que dans le cas d’une piste magnétique", confirme Olivier Bogaert. Les cas de "skimming" - fraudes à la carte bancaire - se sont d’ailleurs effondrés chez nous.
Source: DH (http://goo.gl/3885vD)

Aucun commentaire:

Enregistrer un commentaire