IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un malware subtilise les données de près de 50 000 cartes bancaires dans 11 pays


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    7 301
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 7 301
    Points : 175 406
    Points
    175 406
    Par défaut Un malware subtilise les données de près de 50 000 cartes bancaires dans 11 pays
    Un malware subtilise les données de près de 50 000 cartes bancaires dans 11 pays,
    ChewBacca agit depuis bientôt trois mois

    La division dédiée à la sécurité d'EMC a parlé sur son blog de ChewBacca, un malware dont la mission est de voler des données de cartes bancaires directement par le biais des terminaux de paiement.

    RSA note que ces trois derniers mois, près de 50 000 données bancaires ont ainsi été subtilisées dans 11 pays, parmi lesquelles les États-Unis (qui ont essuyé la plupart des attaques, soit 32 % au total), l'Australie, le Canada et même la Russie. « Nos recherches indiquent qu'en ce moment 119 terminaux PoS parmi 45 commerçants montrent une évidence d'infection par ChewBacca » explique Uri Fleyder, le Directeur de la Cybercrime Research à RSA. Le logiciel malveillant cible les données stockées dans les bandes magnétiques des cartes, lesquelles sont enregistrées lors d'un passage à la machine.

    ChewBacca installe un proxy client Tor sur les systèmes infectés et se connecte à une adresse .onion. Une fois installé sur la machine, le logiciel est capable d'extraire des informations spécifiques des processus en fonctionnement et les envoie à une autre adresse en .onion.

    Le malware a également une composante keylogger qui enregistre les événements clavier ainsi que les changements des évènements focus. Les informations ainsi recueillies sont sauvegardées dans les fichiers temporaires de Windows sous le nom system.log. Même si ce logiciel n'est pas un exemple de discrétion sur Windows (il se retrouve dans le dossier « Démarrer » et se présente sous la forme d'un exécutable système -spoolsv.exe-), il n'en demeure pas moins que 20 % des logiciels antivirus ne le détectent toujours pas à ce jour, d'après Curt Wilson, analyste recherche senior chez Arbor Network.

    Côté serveur il y a un panneau de configuration à partir duquel les hackers peuvent examiner les systèmes compromis et les données qui ont été subtilisées.

    « Le cheval de Troie ChewBacca apparaît comme un simple malware, bien que, malgré un manque de sophistication et de mécanismes de défense, il ait réussi à voler des informations sur les cartes de paiement de plusieurs douzaines de vendeurs dans le monde en un peu plus de deux mois », explique RSA. Pour contrer la progression de ChewBacca, RSA propose d'informer les employés face aux menaces informatiques ou d'investir dans un chiffrement plus efficace pour renforcer la sécurité.

    Les types de données que le malware collecte n'ont pas été précisés. Toutefois, Marco Preuss, directeur de l'équipe Global Research and Analysis de Kaspersky, pense qu'il s'agit probablement de données financières.

    Source : blog RSA

    Et vous ?

    Que pensez-vous des moyens de défense proposés par RSA ? Pouvez-vous en suggérer d'autres ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre régulier
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2011
    Messages
    58
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Service public

    Informations forums :
    Inscription : avril 2011
    Messages : 58
    Points : 86
    Points
    86
    Par défaut
    Il serait intéressant de savoir si la France fait partie des pays touchés

  3. #3
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 32

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 942
    Points
    3 942
    Par défaut
    Il faut néanmoins souligner que le malware cible les données stockées dans les bandes magnétiques des cartes : ces dernières sont enregistrées lorsqu'elles sont passées dans la machine, tandis qu'un keylogger enregistre de son côté le code tapé sur le clavier numérique.
    Source : http://www.clubic.com/antivirus-secu...s-11-pays.html

    L'utilisation des bandes magnétiques en France étant peu répandue pour les commerçants français je ne pense pas que la France soit énormément touchée.
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  4. #4
    Modérateur

    Homme Profil pro
    Développeur java, access, sql server
    Inscrit en
    octobre 2005
    Messages
    2 689
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur java, access, sql server
    Secteur : Industrie

    Informations forums :
    Inscription : octobre 2005
    Messages : 2 689
    Points : 4 692
    Points
    4 692
    Par défaut
    Citation Envoyé par Calmacil Voir le message
    Il serait intéressant de savoir si la France fait partie des pays touchés
    Ah ben non. Comme le nuage de Tchernobyl, il s'est arrêté à la frontière
    Labor improbus omnia vincit un travail acharné vient à bout de tout - Ambroise Paré (1510-1590)

    Consulter sans modération la FAQ ainsi que les bons ouvrages : http://jmdoudoux.developpez.com/cours/developpons/java/

  5. #5
    Membre actif
    Homme Profil pro
    Inscrit en
    janvier 2011
    Messages
    90
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : janvier 2011
    Messages : 90
    Points : 242
    Points
    242
    Par défaut
    A priori on parle de la bande magnétique des cartes bleues...
    Par contre il s’agirait de terminaux connectés à des postes Windows?

  6. #6
    Membre chevronné
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    décembre 2007
    Messages
    677
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : décembre 2007
    Messages : 677
    Points : 2 137
    Points
    2 137
    Par défaut
    Citation Envoyé par Calmacil Voir le message
    Il serait intéressant de savoir si la France fait partie des pays touchés
    La lecture des bandes magnétiques en France, on trouve ça dans les péages, certaines stations-services 24/7 et certains distributeurs de billets (toutes les machines qui avalent les cartes en somme). Par contre je n’ai jamais vu de commerçants utiliser ce genre de machine. Ca limite un tout petit peu le risque (et ça explique pourquoi l’Amérique est si touchée ; ils ne connaissent pas la carte à puce là-bas, contrairement aux cartes bancaires Européennes).
    Le WIP de The last bastion, mon projet de jeu-vidéo (un TD en 3D)

    Mon portfolio / Ma page fb

  7. #7
    Membre éclairé Avatar de PatteDePoule
    Homme Profil pro
    Développeur .NET
    Inscrit en
    août 2008
    Messages
    380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : août 2008
    Messages : 380
    Points : 763
    Points
    763
    Par défaut
    Citation Envoyé par I_Pnose Voir le message
    (et ça explique pourquoi l’Amérique est si touchée ; ils ne connaissent pas la carte à puce là-bas, contrairement aux cartes bancaires Européennes).
    En fait on connait, nous sommes hybrides.
    Les fautes d'orthographes sus-citées sont déposées auprès de leurs propriétaires respectifs. Aucune responsabilité n'est engagée sur la lisibilité du message ou les éventuels dommages qu'il peut engendrer.

  8. #8
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    10 055
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 10 055
    Points : 27 560
    Points
    27 560
    Par défaut
    Citation Envoyé par Mr_Exal Voir le message
    L'utilisation des bandes magnétiques en France étant peu répandue pour les commerçants français je ne pense pas que la France soit énormément touchée.
    Tous les terminaux de paiement en France sont susceptibles d'utiliser la bande magnétique. Certains systématiquement, comme les terminaux des péages, certains terminaux à paiement rapide, etc (chaque fois que le code n'est pas à saisir). Pour les autres, si, sur une carte, la puce n'est pas lisible, il est toujours possible de payer via la bande magnétique.

    Pour rappel : La bande magnétique est la norme dans le monde, la carte à puce et la saisie du code est l'exception française. Et les terminaux français doivent être compatible avec les cartes étrangères, et les cartes françaises (sauf carte à restriction) doivent être compatible avec les terminaux étrangers
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  9. #9
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 32

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 942
    Points
    3 942
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Tous les terminaux de paiement en France sont susceptibles d'utiliser la bande magnétique. Certains systématiquement, comme les terminaux des péages, certains terminaux à paiement rapide, etc (chaque fois que le code n'est pas à saisir). Pour les autres, si, sur une carte, la puce n'est pas lisible, il est toujours possible de payer via la bande magnétique.

    Pour rappel : La bande magnétique est la norme dans le monde, la carte à puce et la saisie du code est l'exception française. Et les terminaux français doivent être compatible avec les cartes étrangères, et les cartes françaises (sauf carte à restriction) doivent être compatible avec les terminaux étrangers
    Il est possible de les utiliser oui. Mais ce n'est pas dans les habitudes de paiement des Français (maintenant concernant les péages je ne savais pas que c'était la bande magnétique qui était utilisée).

    Pour une fois qu'en France on est plus avancés qu'aux US niveau sécurité
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  10. #10
    Membre chevronné
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    décembre 2007
    Messages
    677
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : décembre 2007
    Messages : 677
    Points : 2 137
    Points
    2 137
    Par défaut
    Citation Envoyé par PatteDePoule Voir le message
    En fait on connait, nous sommes hybrides.
    Je n’ai pourtant jamais vu de carte bancaire américaine avec une carte à puce, du temps où je trainais dans le coin ^^

    Il y a une explication rationnelle à ça ; la carte bancaire s’est imposée beaucoup plus tôt aux Etats-Unis qu’en Europe, bien avant que la carte à puce soit mise au point. Quand cette dernière s’est généralisée il était un peu tard pour les Etats-Unis de faire la bascule (qui représentait un investissement colossale)

    Maintenant il est vrai que devant la recrudescence de falsifications de bandes magnétiques, il était question que les commerçants s’équipent en lecteurs de carte à puce avant une certaine date butoir (j’ai oublié ladite date, et je ne retrouve plus mes sources).

    Bref, étant données que ça fait bien 6 ans que je ne suis pas allé au EU, il se peut que depuis ils aient commencé à s’équiper.

    Citation Envoyé par sevyc64
    Tous les terminaux de paiement en France sont susceptibles d'utiliser la bande magnétique. Certains systématiquement, comme les terminaux des péages, certains terminaux à paiement rapide, etc (chaque fois que le code n'est pas à saisir). Pour les autres, si, sur une carte, la puce n'est pas lisible, il est toujours possible de payer via la bande magnétique.
    Celui que j’ai sous la main pour faire mes tests (un iWL250) ne lit pas la bande magnétique, et c’est loin d’être le seul terminal bancaire à être dépourvu de cette fonctionnalité. En l’occurrence il est compatible avec les paiements sans contact, mais là encore ce n’est pas lié à la bande magnétique.
    Le WIP de The last bastion, mon projet de jeu-vidéo (un TD en 3D)

    Mon portfolio / Ma page fb

  11. #11
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    10 055
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 10 055
    Points : 27 560
    Points
    27 560
    Par défaut
    Citation Envoyé par Mr_Exal Voir le message
    Il est possible de les utiliser oui. Mais ce n'est pas dans les habitudes de paiement des Français (maintenant concernant les péages je ne savais pas que c'était la bande magnétique qui était utilisée).
    A chaque fois que tu as un paiement avec une carte sans saisie du code, c'est l'utilisation de la bande magnétique.

    Citation Envoyé par I_Pnose Voir le message
    Je n’ai pourtant jamais vu de carte bancaire américaine avec une carte à puce, du temps où je trainais dans le coin ^^

    Il y a une explication rationnelle à ça ; la carte bancaire s’est imposée beaucoup plus tôt aux Etats-Unis qu’en Europe, bien avant que la carte à puce soit mise au point. Quand cette dernière s’est généralisée il était un peu tard pour les Etats-Unis de faire la bascule (qui représentait un investissement colossale)
    Ca existe (ou a existé), il ya eu des tentatives de mise à place de cartes sécurisées, mais ça ne prend pas aux US. Il parait même que certains en sont encore au "fer à repasser" pour faire les paiements par carte

    Citation Envoyé par I_Pnose Voir le message
    Celui que j’ai sous la main pour faire mes tests (un iWL250) ne lit pas la bande magnétique, et c’est loin d’être le seul terminal bancaire à être dépourvu de cette fonctionnalité. En l’occurrence il est compatible avec les paiements sans contact, mais là encore ce n’est pas lié à la bande magnétique.
    Tu es sur ? Parce que c'est obligatoire pour que le lecteur soit homologué (France ou Europe, je sais plus). Je ne l'affirmerais pas mais je crois même que ça fait l'objet d'une norme.
    Il n'y a que la France qui utilise la puce. Un lecteur qui ne lirait pas la bande magnétique ne serait utilisable que par des français avec des cartes françaises. Quid des touristes étrangers ?

    Par contre, peut-être que certains lecteurs sont configurés pour que, en présence d'une puce, ils ne donnent pas accès à la bande magnétique. Là, je ne sais pas.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  12. #12
    Membre chevronné
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    décembre 2007
    Messages
    677
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : décembre 2007
    Messages : 677
    Points : 2 137
    Points
    2 137
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    A chaque fois que tu as un paiement avec une carte sans saisie du code, c'est l'utilisation de la bande magnétique.
    Non, pas dans le cas d’un paiement sans contact ; cette technologie s’appuie sur RFID et NFC et n’est valide que pour des paiements inférieur à 21 euros (ça a été mis en place pour effectuer des petits paiements rapides en somme ; t’achète ton sac de patates, tu passes ta carte au-dessus du lecteur compatible NFC, et tu dis au revoir à la dame). Seules les cartes renouvelées depuis Aout dernier intègrent cette technologie (tu peux toujours essayer de faire un paiement sans contact avec une carte bancaire vieille de deux ans, tu n’arriveras à rien =P ).

    Citation Envoyé par sevyc64 Voir le message
    Ca existe (ou a existé), il ya eu des tentatives de mise à place de cartes sécurisées, mais ça ne prend pas aux US. Il parait même que certains en sont encore au "fer à repasser" pour faire les paiements par carte
    J’ai lu çà et là que les gros de la carte bancaire (Visa, Mastercard, etc...) voulait faire un forcing pour courant 2015. Les EU arrivent à un stade où les fraudes à la CB rattrapent le coût d’une migration vers un système plus sécurisé. Ils commencent à y penser sérieusement.

    Citation Envoyé par sevyc64 Voir le message
    Tu es sur ? Parce que c'est obligatoire pour que le lecteur soit homologué (France ou Europe, je sais plus). Je ne l'affirmerais pas mais je crois même que ça fait l'objet d'une norme.
    Il n'y a que la France qui utilise la puce. Un lecteur qui ne lirait pas la bande magnétique ne serait utilisable que par des français avec des cartes françaises. Quid des touristes étrangers ?

    Par contre, peut-être que certains lecteurs sont configurés pour que, en présence d'une puce, ils ne donnent pas accès à la bande magnétique. Là, je ne sais pas.
    Certain. Mon lecteur est certifié EMV et compatible NFC, C’est tout.
    Je te donne le lien qui présente le taux de pénétration de la norme EMV dans le monde (statistiques qui datent de 2012 visiblement), tu constateras que la France n’est pas la seule aux milieux de ses cartes à puce ^^.
    http://www.cartes-bancaires.com/spip.php?article59
    Le WIP de The last bastion, mon projet de jeu-vidéo (un TD en 3D)

    Mon portfolio / Ma page fb

  13. #13
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    10 055
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 10 055
    Points : 27 560
    Points
    27 560
    Par défaut
    Citation Envoyé par I_Pnose Voir le message
    Non, pas dans le cas d’un paiement sans contact ;
    J'ai parlais évidemment (sous entendu) du cas ou on insère la carte dans un lecteur.
    Il est évidement que dans un "sans contact", il n'y a contact ni avec la puce, ni avec la bande magnétique
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  14. #14
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 32

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 942
    Points
    3 942
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    A chaque fois que tu as un paiement avec une carte sans saisie du code, c'est l'utilisation de la bande magnétique.
    Je sais bien mais en France c'est souvent du :"Tapez votre code monsieur". J'ai jamais utilisé la bande magnétique en fait c'est sûrement pour ça.
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

Discussions similaires

  1. XAgent : un malware qui dérobe les données personnelles sous iOS
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 0
    Dernier message: 05/02/2015, 13h16
  2. Réponses: 0
    Dernier message: 09/11/2014, 23h13
  3. Mettre les données d'une colonne d'un fichier Excel dans une ArrayList
    Par kortobi dans le forum Collection et Stream
    Réponses: 3
    Dernier message: 05/09/2012, 20h40
  4. Réponses: 7
    Dernier message: 31/03/2011, 12h38
  5. Réponses: 12
    Dernier message: 06/12/2008, 15h38

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo