Un pirate informatique s’introduit dans le processeur de cartes de crédit et de débit Paiements mondiaux inc. remonte au moins au début de juin 2011, Visa et MasterCard averti dans des alertes mises à jour envoyées aux banques émettrices de cartes la semaine dernière. Les divulgations offrent les premiers détails supplémentaires sur la durée de la violation depuis que Global Payments a reconnu l’incident le 30 mars 2012.
Visa et MasterCard envoient des alertes périodiques aux banques émettrices de cartes concernant les cartes qui pourraient devoir être réémises suite à une faille de sécurité chez un processeur ou un commerçant. En effet, ce sont deux de ces alertes – émises à un jour d’intervalle au cours de la dernière semaine de mars – qui ont incité mon reportage à révéler l’incident. Depuis ces alertes initiales, Visa et MasterCard ont publié au moins sept mises à jour, avertissant de nouvelles cartes compromises et repoussant à chaque fois la fenêtre de vulnérabilité de Global Payments.
Initialement, MasterCard et Visa ont averti que les pirates pouvaient avoir eu accès aux numéros de carte gérés par le processeur entre le 21 janvier 2012 et le 25 février 2012. Des alertes ultérieures envoyées aux banques ont repoussé cette fenêtre d’exposition à janvier, décembre, puis Août. Dans une alerte envoyée ces derniers jours, les associations de cartes ont averti les émetteurs de cartes encore plus compromises, affirmant que la violation remontait à au moins huit mois, jusqu’en juin 2011.
Les experts en sécurité affirment qu’il est courant que le nombre de cartes compromises augmente à mesure que les enquêteurs médico-légaux acquièrent une meilleure compréhension de l’étendue d’une faille de sécurité. Mais jusqu’à présent, Global Payments a fourni peu de détails sur l’incident au-delà de répéter que moins de 1,5 million de numéros de carte ont peut-être été volés dans ses systèmes.
Dans une lettre (PDF) répondant aux questions de Sénateur Robert P. Casey (D-Pa.), PDG de Global Payments Paul García a soutenu que la société avait découvert la violation en interne et par elle-même le 8 mars et qu’elle avait commencé à alerter les associations de cartes le lendemain. Garcia a déclaré que leur divulgation initiale avait été « forcée par des spéculations sauvages dans la presse concernant cette affaire et notre entreprise ».
Porte-parole de Global Payments Amy Korn a refusé de commenter cette histoire, mais a déclaré que la société publierait des informations supplémentaires sur l’incident dans une déclaration sur son site Web, 2012infosecurityupdate.comPlus tard dans la soirée.
Mise à jour, 4 mai, 12 h 37 HE : Le Wall Street Journal a publié une histoire citant aujourd’hui des sources non identifiées disant qu’au moins 7 millions de comptes de cartes sont désormais considérés comme potentiellement vulnérables en raison de cette violation.