En décembre 2013, quelques jours seulement après qu’une violation de données ait révélé 40 millions de comptes de cartes de débit et de crédit de clients, Cible Corp. embauché des experts en sécurité à Verizon pour sonder ses réseaux à la recherche de faiblesses. Les résultats de cette enquête confidentielle – jusqu’à présent jamais révélés publiquement – confirment ce que les experts soupçonnaient depuis longtemps : une fois à l’intérieur du réseau de Target, rien n’empêchait les attaquants d’obtenir un accès direct et complet à chaque caisse enregistreuse de chaque magasin Target.
Selon un rapport d’entreprise interne obtenu par BreachTrace, Target a commandé l’étude « en prévision d’un litige » auprès des banques qui pourraient s’unir pour poursuivre le détaillant dans le but de récupérer les coûts de réémission des cartes à leurs clients. La semaine dernière, un juge fédéral a effacé ces réclamations pour aller de l’avant dans un recours collectif.
L’évaluation de Verizon, menée entre le 21 décembre 2013 et le 1er mars 2014, a notamment constaté «aucun contrôle limitant leur accès à tout système, y compris les appareils dans les magasins tels que les registres et les serveurs des points de vente (POS).”
Le rapport note que les consultants de Verizon ont pu communiquer directement avec les registres et les serveurs des points de vente du réseau central. Dans un cas, ils ont pu communiquer directement avec les caisses enregistreuses dans les couloirs de caisse après compromettant une balance de charcuterie située dans un autre magasin.
Les découvertes de Verizon donnent du crédit à la théorie de travail sur la façon dont les pirates ont initialement fait irruption dans Target. En février 2014, BreachTrace a été le premier à signaler que les enquêteurs s’étaient concentrés sur la source de la violation : Fazio Mécanique, une petite entreprise de chauffage et de climatisation de Pennsylvanie qui travaillait avec Target et avait subi sa propre brèche via un logiciel malveillant envoyé dans un e-mail. Lors de cette intrusion, les voleurs ont réussi à voler les informations d’identification du réseau privé virtuel que les techniciens de Fazio utilisaient pour se connecter à distance au réseau de Target.
Le rapport de Verizon offre un livre de jeu probable sur la façon dont les pirates de Target ont utilisé cette prise de pied initiale fournie par le piratage de Fazio pour pousser les logiciels malveillants vers toutes les caisses enregistreuses de plus de 1 800 magasins à travers le pays.
Porte-parole cible Molly Snyder ne confirmerait ni ne nierait l’authenticité des documents référencés dans ce rapport, mais elle a soutenu que Target a fait de grands progrès et est maintenant un leader de l’industrie en matière de cybersécurité.
« Nous avons recruté de nouveaux dirigeants, constitué des équipes et ouvert un centre de cyberfusion à la pointe de la technologie », a déclaré Snyder. « Nous sommes fiers de notre position en tant qu’entreprise et nous nous engageons absolument à être un leader en matière de cybersécurité à l’avenir. »
Snyder a déclaré que Target est convaincue que « le partage d’informations précises et exploitables – avec les consommateurs, les décideurs politiques et même d’autres entreprises et industries – contribuera à nous rendre tous plus sûrs et plus forts », a-t-elle déclaré dans un communiqué envoyé par courrier électronique. «Parfois, cela signifie fournir des informations directement aux consommateurs, d’autres fois, cela signifie partager des informations sur les menaces potentielles de l’industrie avec d’autres entreprises ou via notre participation aux centres de partage et d’analyse d’informations sur les services financiers et la vente au détail (ISAC), et parfois cela signifie travailler avec les forces de l’ordre. . Ce que nous ne pensons pas que cela signifie, c’est de continuer à ressasser un récit vieux de près de deux ans.

Un graphique de haut niveau montrant les différents itinéraires que les testeurs d’intrusion de Verizon ont pu emprunter pour se rendre jusqu’aux caisses enregistreuses de Target en 2013 et 2014.
LE RÔLE DES MOTS DE PASSE PAR DÉFAUT ET FAIBLES
Le rapport note que « alors que Target a une politique de mot de passe, les consultants en sécurité de Verizon ont découvert qu’elle n’était pas suivie. Les consultants de Verizon ont découvert un fichier contenant des informations d’identification réseau valides stockées sur plusieurs serveurs. Les consultants de Verizon ont également découvert des systèmes et des services utilisant des mots de passe faibles ou par défaut. En utilisant ces mots de passe faibles, les consultants ont pu accéder instantanément aux systèmes concernés. »
Les mots de passe par défaut dans les principaux systèmes et serveurs internes ont également permis aux consultants de Verizon d’assumer le rôle d’administrateur système avec une totale liberté de mouvement sur le réseau interne tentaculaire de Target.
« Les consultants en sécurité de Verizon ont identifié plusieurs systèmes qui utilisaient des services mal configurés, tels que plusieurs serveurs Microsoft SQL qui avaient un mot de passe administrateur faible et des serveurs Apache Tomcat utilisant le mot de passe administrateur par défaut », observe le rapport. « Grâce à ces faiblesses, les consultants de Verizon ont pu obtenir un accès initial au réseau de l’entreprise et finalement obtenir un accès d’administrateur de domaine. »
En une semaine, les consultants en sécurité ont signalé qu’ils avaient réussi à déchiffrer 472 308 des 547 470 mots de passe de Target (86 %) qui permettaient d’accéder à divers réseaux internes, notamment ; cible.com, corp.cible.com ; email.target.com ; stores.target.com ; hq.cible.com ; labs.target.com ; et olk.target.com.

Un résumé des mots de passe des comptes utilisateur et administrateur que les experts de Verizon ont pu déchiffrer dans la semaine suivant leur découverte sur le réseau de Target.
Vous trouverez ci-dessous quelques statistiques générées par Verizon, y compris le classement « Top 10 » des mots de passe, des longueurs, des mots de base et des complexités des jeux de caractères.
RACCORDEMENT INÉGALÉ
Selon le rapport, les testeurs d’intrusion ont également identifié de nombreux services et systèmes obsolètes ou manquant de correctifs de sécurité critiques.
« Par exemple, les consultants de Verizon ont trouvé des systèmes manquant de correctifs Microsoft critiques ou exécutant des systèmes obsolètes. [web server] logiciels tels qu’Apache, IBM WebSphere et PHP. Ces services étaient hébergés sur des serveurs Web, des bases de données et d’autres infrastructures critiques », note le rapport. « Ces services sont associés à de nombreuses vulnérabilités connues. Dans plusieurs de ces cas où Verizon a découvert ces services obsolètes ou ces systèmes non corrigés, ils ont pu accéder aux systèmes concernés sans avoir besoin de connaître les informations d’authentification.
Le rapport continue :
« Verizon et la Target Red Team ont exploité plusieurs vulnérabilités sur le réseau interne, d’un point de vue non authentifié. Les consultants ont pu utiliser cet accès initial pour compromettre des systèmes supplémentaires. Les informations sur ces systèmes supplémentaires ont finalement permis à Verizon d’obtenir un accès complet au réseau – et à toutes les données sensibles stockées sur les partages réseau – via un compte d’administrateur de domaine.
FAIRE TOURNER LE NAVIRE ?
Lors du test de pénétration externe de suivi effectué en février 2014, Verizon a noté de nombreuses mesures proactives que Target prenait pour protéger son infrastructure. Parmi eux se trouvaient :
« Verizon a découvert que Target avait mis en place un programme complet d’analyse des vulnérabilités, utilisant Tenable Security Center », note le rapport. « Cependant, les consultants de Verizon ont découvert que les procédures de remédiation ne traitaient pas les résultats découverts par le programme d’analyse des vulnérabilités en temps opportun, voire pas du tout.
De même, Target a apporté des améliorations majeures aux procédures de correction des vulnérabilités, ont constaté les testeurs. En raison de ces changements, bon nombre des résultats les plus critiques ont été corrigés un jour ou deux après leur divulgation.
Target a également commandé à Verizon un test de pénétration externe, essentiellement pour voir comment des attaquants qualifiés pourraient s’en tirer en essayant de pénétrer dans les réseaux de l’entreprise à partir d’Internet. Ce test, effectué entre le 3 février 2014 et le 14 février 2014, a montré que Target était assez robuste pour détecter et bloquer les attaques externes.
« Dans ce test, les consultants de Verizon n’ont pas pu obtenir un accès interactif à l’un des systèmes d’exploitation sous-jacents des systèmes testés », note le résumé du rapport. « Bien que Verizon ait trouvé des vulnérabilités dans certains services, ces faiblesses n’ont pas permis aux consultants en sécurité de Verizon d’accéder à l’un des systèmes. »
ANALYSE
Target n’a jamais parlé publiquement des leçons tirées de la violation, sans doute parce que l’entreprise craint que tout ce qu’elle dit ne soit utilisé contre elle dans des recours collectifs. Cependant, la société a investi des centaines de millions de dollars dans du personnel de sécurité supplémentaire et dans la construction d’un « centre de cyberfusion» pour mieux répondre aux menaces quotidiennes auxquelles sont confrontés ses différents magasins et réseaux.

Le « Cyber Fusion Center » de Target. Image : Target.com
Au Defcon conférence sur la sécurité à Las Vegas cette année, j’ai rencontré le chef d’équipe de «l’équipe rouge» de Target, un groupe de professionnels de la sécurité qui sont payés pour tester en permanence la sécurité du réseau et des employés de l’entreprise. D’après ce que j’ai entendu dans des conversations confidentielles, Target a une bonne histoire à raconter sur la façon dont il gère les menaces de sécurité ces jours-ci. Malheureusement, la société a refusé ma demande d’accès nécessaire pour me permettre de raconter cette histoire.
Bien que Target n’ait pas directement partagé les leçons tirées de la brèche, les rapports de test d’intrusion de Verizon incluent des conclusions utiles – quoique quelque peu évidentes – qui devraient être instructives pour tous les détaillants et les grandes entreprises.
Pour commencer, segmentez votre réseau et limitez le nombre de personnes ayant accès aux zones les plus sensibles du réseau. « Target devrait limiter l’accès aux parties du réseau contenant des systèmes critiques aux seuls employés qui gèrent directement ces systèmes », indique le rapport. « Dans la mesure du possible, Verizon recommande de restreindre l’accès au réseau des employés en fonction de la fonction professionnelle. »
Établissez également un système pour trouver et corriger les vulnérabilités sur une base régulière, et un suivi pour vérifier que les lacunes ont été comblées.
« Verizon recommande de continuer à améliorer le programme de correction des vulnérabilités », note le rapport de test de pénétration interne. « Target peut améliorer considérablement la sécurité de l’environnement en tirant parti du programme d’analyse des vulnérabilités actuellement en place. Les découvertes de vulnérabilité doivent être communiquées aux équipes de remédiation et/ou aux propriétaires d’appareils en utilisant une approche basée sur les risques. La correction des vulnérabilités doit être suivie au fil du temps pour s’assurer que les problèmes sont résolus en temps opportun. De plus, les vulnérabilités doivent être retestées après la correction pour s’assurer que les solutions sont complètes. Un programme complet de gestion des vulnérabilités aidera l’organisation à mieux comprendre sa posture de sécurité, tout en minimisant les risques dans la mesure du possible.
Enfin, attaquez régulièrement votre propre réseau pour trouver des failles dans votre posture de sécurité, de préférence avant que les méchants ne trouvent et n’exploitent les mêmes failles.
« Verizon recommande d’effectuer des évaluations de vulnérabilité de routine des systèmes, des applications et de l’infrastructure internes et externes », conclut le rapport. « Les évaluations de routine aideront à identifier les vulnérabilités, les correctifs manquants et les problèmes de configuration, réduisant ainsi la durée pendant laquelle les faiblesses existent dans l’environnement. »