Compromission de cartes chez Heartland Payment Systems
Un point d'entrée par injection SQL a permis au groupe d'Albert Gonzalez d'implanter un logiciel renifleur dans le réseau de traitement des paiements de Heartland, capturant environ 130 millions de numéros de cartes en transit — à l'époque la plus grande violation de données de cartes jamais divulguée.
- Victime
- Heartland Payment Systems
- Perte
- $200.0M
- données
- 130.0M
- utilisateurs
- 130.0M
Le 20 janvier 2009, le processeur de paiements du New Jersey Heartland Payment Systems a révélé que des criminels avaient pénétré les systèmes qu'il utilisait pour traiter les transactions par carte de quelque 175 000 commerçants. L'exposition — estimée à jusqu'à 130 millions de numéros de cartes — en faisait, à l'époque, la plus grande violation de cartes de paiement jamais divulguée publiquement, dépassant même l'intrusion de TJX menée par le même groupe.
Ce qui s'est passé
L'attaque a débuté par une faiblesse familière : une vulnérabilité d'injection SQL dans une application web d'entreprise de Heartland, exploitée dès 2007. L'injection SQL permet à un attaquant de glisser des commandes de base de données via un champ de saisie, et ici elle a donné aux intrus un premier point d'entrée sur le réseau d'entreprise de Heartland.
À partir de là, le groupe a travaillé patiemment — pendant des mois — pour rebondir vers l'environnement de traitement des paiements lui-même. Une fois à l'intérieur, ils ont déployé un logiciel renifleur qui lisait les données de piste des cartes lorsqu'elles traversaient le réseau interne de Heartland sans chiffrement, durant la brève fenêtre entre la réception et la transmission aux réseaux de cartes. Comme les données étaient capturées en transit au niveau du processeur, le butin couvrait un nombre considérable de commerçants et de porteurs de cartes.
Comment l'opération a été menée
L'intrusion a été orchestrée par Albert Gonzalez, le même opérateur derrière la violation de TJX, travaillant avec deux complices que le ministère américain de la Justice a localisés en Russie. L'inculpation de 2009 décrivait une campagne coordonnée — informellement baptisée « Operation Get Rich or Die Tryin' » — qui a aussi frappé Hannaford Brothers et 7-Eleven. Les données de piste volées étaient vendues ou encodées sur des cartes contrefaites.
Impact
- Environ 130 millions de numéros de cartes ont été exposés chez quelque 175 000 commerçants.
- Le coût total pour Heartland, y compris les règlements et le remboursement des fraudes, a dépassé 200 millions de dollars ; l'entreprise a déclaré avoir versé bien plus de 140 millions de dollars d'indemnisation.
- Heartland a conclu des accords avec les émetteurs Visa (jusqu'à environ 60 millions de dollars) et MasterCard (environ 41 millions de dollars), entre autres.
- Albert Gonzalez a été condamné en 2010 à 20 ans de prison fédérale.
Pourquoi c'est important
Heartland a transformé la manière dont le secteur des paiements appréhendait les données en transit. Les numéros de cartes étaient techniquement protégés au repos et en stockage, mais ils traversaient le réseau interne en clair — et cela a suffi. À la suite de la violation, le PDG de Heartland est devenu un ardent défenseur du chiffrement de bout en bout des données de cartes, contribuant à pousser le secteur vers le chiffrement point à point et, à terme, la tokenisation et l'adoption de la puce EMV. L'affaire demeure une leçon déterminante : un processeur de paiements constitue un point de défaillance unique pour des millions de commerçants, et la conformité PCI-DSS à un instant donné ne garantit pas la sécurité face à un intrus déterminé.
Impact financier
Coûts déclarés en USD
- Perte d’exploitation$200.0M
Chronologie
Les attaquants compromettent une application web d'entreprise de Heartland par injection SQL, établissant un premier point d'entrée sur le réseau.
Le groupe rebondit vers l'environnement de traitement des paiements de Heartland et installe un logiciel renifleur qui capture les données de cartes lorsqu'elles traversent le réseau sans chiffrement.
Les réseaux de cartes alertent Heartland d'une activité suspecte liée à des cartes traitées par ses systèmes, déclenchant une enquête interne.
Heartland divulgue publiquement la violation, estimant que les données de jusqu'à 130 millions de transactions par carte ont pu être exposées.
Le ministère américain de la Justice inculpe Albert Gonzalez et deux complices russes pour l'intrusion chez Heartland et des attaques connexes.
Heartland conclut un accord pouvant atteindre environ 60 millions de dollars avec Visa pour régler les réclamations des émetteurs.
Heartland accepte un accord d'environ 41 millions de dollars avec les émetteurs MasterCard.
Albert Gonzalez est condamné à 20 ans de prison fédérale pour les violations de Heartland, TJX et des affaires connexes.
Sources
- justice.govhttps://www.justice.gov/archives/opa/pr/alleged-international-hacker-indicted-massive-attack-us-retail-and-banking-networks
- bankinfosecurity.comhttps://www.bankinfosecurity.com/heartland-data-breach-tjx-hacker-indicted-for-crime-a-1716
- theregister.comhttps://www.theregister.com/2010/05/20/heartland_mastercard_settlement/
- proofpoint.comhttps://www.proofpoint.com/us/blog/insider-threat-management/throwback-thursday-lessons-learned-2008-heartland-breach
- hsgac.senate.govhttps://www.hsgac.senate.gov/wp-content/uploads/imo/media/doc/TestimonyCarr20090914.pdf