1,5 million de numéros de cartes bancaires volés aux Etats-Unis

Une manière polie d’avouer que son système informatique avait été piraté, et pas qu’un peu. « L’entreprise estime que la part affectée de son système de traitement est confinée à l’Amérique du Nord et que moins de 1 500 000 numéros de cartes bancaires ont pu être exportés », confesse timidement le communiqué qui cherche clairement à minimiser ce hack.

Sacré euphémisme en effet. Car non seulement un million cinq cent mille numéros de carte bancaires auraient été consultés par des pirates, mais bel et bien « exportés », autrement dit enregistrés par les cybercriminels. La tuile. Global Payments semble cependant indiquer que d’après son enquête interne, « seules les données Track 2 pourraient avoir été volées, mais pas les noms, adresses et numéros de sécurité sociale des possesseurs de cartes. »

Il est difficile de savoir si les données contenues dans le « Track 2 » (piste 2) d’une carte bancaire pourraient suffire aux cybercriminels pour usurper l’identité de leur possesseur légitime mais, en théorie, les informations qui ont été collectées ne sont pas suffisantes : on trouve notamment dans ce Track 2 le numéro de compte, la date d’expiration, mais pas le code de sureté que l’on trouve au dos... Ni les coordonnées du titulaire.

Cependant, Mastercard et Visa, qui travaillent de facto avec Global Payments ont, quelques jours avant cette annonce fracassante, alerté les banques américaines d’une possible brèche de sécurité chez un intermédiaire de paiement par carte bancaire, qui n’a pas été cité. Rapportée par le journaliste Brian Krebs, la mise en garde des deux géants du paiement électronique est bien plus alarmante puisque selon eux, les cybercriminels auraient pu récupérer non seulement le Track 2, mais aussi l’intégralité du Track 1 des cartes : or, en possession de ces deux chaînes de données, un pirate a toutes les informations nécessaires pour réaliser une copie physique d’une carte bancaire. « Nous faisons de rapides progrès pour résoudre ce problème », explique Global Payments, qui dit travailler avec l’industrie et les autorités pour « minimiser l’impact potentiel sur les possesseurs de cartes ».

D’après le Wall Street Journal, Visa a sans attendre pris des mesures contre Global Payments et l'a retiré d’une liste de plusieurs centaines d’entreprises fournissant des « services conformes » et, d’après le journal, a exigé que Global Payments « montre qu’il se conforme aux standards de sécurité de l’industrie ».

Un tel piratage de numéros de cartes bancaires n’est malheureusement pas une première. Il fait écho au cas de CardSystems Solutions, une entreprise similaire qui, en 2005, s’était fait voler quelque 40 millions de numéros de cartes... Et il y a deux ans, Heartland Payment Systems établissait un record avec la bagatelle de... 130 millions de numéros dérobés !