Compromission de cartes chez TJX Companies (T.J. Maxx)
Des attaquants menés par Albert Gonzalez ont intercepté le Wi-Fi en magasin, faiblement chiffré, d'un point de vente Marshalls, puis ont rebondi vers les systèmes centraux de TJX, exfiltrant environ 94 millions d'enregistrements de cartes de paiement sur une intrusion de 18 mois — la plus grande violation de données du commerce de détail américain de son époque.
- Victime
- The TJX Companies, Inc.
- Perte
- $256.0M
- données
- 94.0M
- utilisateurs
- 94.0M
Le 17 janvier 2007, le distributeur de déstockage The TJX Companies — maison mère de T.J. Maxx, Marshalls, HomeGoods et de la chaîne européenne TK Maxx — a révélé que des intrus s'étaient introduits dans ses systèmes et avaient dérobé des données de cartes de paiement. À mesure que l'enquête progressait, l'ampleur est devenue historique : environ 94 millions d'enregistrements de cartes de paiement compromis sur une intrusion ayant duré près de 18 mois avant sa détection, ce qui en faisait la plus grande violation de données du commerce de détail américain connue à l'époque.
Ce qui s'est passé
L'intrusion n'a pas commencé au siège social mais sur un parking de magasin. En juillet 2005, les attaquants ont eu recours au wardriving — la recherche de réseaux sans fil depuis l'extérieur du bâtiment — pour atteindre un réseau Wi-Fi en magasin faiblement protégé d'un point de vente Marshalls du Minnesota. Le réseau reposait sur la norme de chiffrement obsolète WEP, que le groupe a su contourner.
Depuis cette tête de pont, les attaquants se sont déplacés latéralement vers les systèmes centraux de TJX à Framingham, Massachusetts, où ils ont installé un logiciel renifleur de paquets qui capturait les données de cartes circulant sur le réseau — pour une grande part stockées ou transmises avec un chiffrement insuffisant. Les intrus ont également collecté des données de transactions remontant à plusieurs années, que TJX avait conservées plus longtemps que ne le permettaient les règles du secteur des cartes.
Comment l'opération a été menée
L'opération était dirigée par Albert Gonzalez, ancien informateur du Secret Service américain qui dirigeait simultanément l'un des réseaux de vol de cartes les plus prolifiques de la décennie. Le même groupe a ensuite été relié aux violations de Heartland Payment Systems, Hannaford et d'autres distributeurs. Les numéros de cartes volés étaient encodés sur du plastique vierge et utilisés pour acheter des cartes-cadeaux et de la marchandise, ou vendus sur des forums de carding.
Impact
- Environ 94 millions d'enregistrements de cartes de paiement ont été exposés — noms, numéros de cartes et, dans certains cas, données de permis de conduire liées aux retours de marchandise.
- Le coût total rapporté par TJX a dépassé 256 millions de dollars, couvrant la remédiation, les règlements judiciaires et l'indemnisation des clients.
- TJX a conclu un accord avec 41 procureurs généraux d'État pour 9,75 millions de dollars et a réglé des recours collectifs de consommateurs d'une valeur de plus de 200 millions de dollars.
- Albert Gonzalez a été inculpé en 2008 et condamné en 2010 à 20 ans de prison fédérale.
Pourquoi c'est important
La violation de TJX a marqué un tournant pour la norme PCI DSS (Payment Card Industry Data Security Standard). Elle a mis en évidence comment un chiffrement sans fil faible, une conservation excessive des données et un trafic interne non chiffré pouvaient se combiner en une exposition catastrophique — et elle a poussé distributeurs et acquéreurs à traiter la conformité PCI comme une obligation au niveau du conseil d'administration plutôt qu'une simple case à cocher. Pendant des années, TJX a servi d'exemple canonique de la manière dont un seul périmètre fragile, un point d'accès Wi-Fi en magasin, peut ouvrir la porte à toute l'infrastructure de paiement d'une chaîne nationale.
Impact financier
Coûts déclarés en USD
- Perte d’exploitation$256.0M
- Amendes & règlements$9.8M
Chronologie
Les attaquants commencent à intercepter des données de cartes sur un réseau local sans fil mal sécurisé d'un magasin Marshalls du Minnesota, exploitant le chiffrement WEP affaibli.
Le groupe rebondit du réseau du magasin vers les systèmes centraux de traitement de TJX à Framingham, installant un logiciel renifleur qui capture les données de cartes en transit.
TJX détecte un logiciel suspect sur ses systèmes et lance une enquête forensique avec des experts externes et les forces de l'ordre.
TJX divulgue publiquement l'intrusion dans un dépôt auprès de la SEC et un communiqué de presse, initialement sans nombre confirmé d'enregistrements.
Des documents judiciaires et des divulgations de TJX révèlent que la violation pourrait dépasser 94 millions d'enregistrements de cartes, bien plus que les premières estimations.
Le ministère américain de la Justice inculpe Albert Gonzalez et ses complices pour l'intrusion chez TJX et des violations connexes du commerce de détail.
TJX conclut un accord avec 41 procureurs généraux d'État pour 9,75 millions de dollars ; le coût total lié à la violation est rapporté à plus de 256 millions de dollars.
Albert Gonzalez est condamné à 20 ans de prison fédérale.
Sources
- sec.govhttps://www.sec.gov/Archives/edgar/data/0000109198/000115752307001830/a5338727ex991.txt
- nbcnews.comhttps://www.nbcnews.com/id/wbna21454847
- scworld.comhttps://www.scworld.com/news/tjx-settles-over-breach-with-41-states-for-9-75-million
- justice.govhttps://www.justice.gov/archives/opa/pr/alleged-international-hacker-indicted-massive-attack-us-retail-and-banking-networks
- informationweek.comhttps://www.informationweek.com/cyber-resilience/t-j-maxx-probe-reveals-data-breach-worse-than-originally-thought