Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Une banque sud-africaine est forcée de remplacer 12 millions de cartes bancaires après une violation
    Une banque sud-africaine est forcée de remplacer 12 millions de cartes bancaires
    après que ses employés avaient volé la clé principale et réussi à dérober près de 3,2 millions de dollars

    La Postbank est la division bancaire du bureau de poste sud-africain. C’est dans son ancien centre de données situé dans la ville de Prétoria que se serait produit l’irréparable qui force désormais la banque à remplacer 12 millions de ses cartes bancaires. D’après le Sunday Times, le média local qui a rendu l’histoire publique, il semble que tout soit parti du fait qu’en décembre 2018, certains employés de ce centre de données aient imprimé la clé principale de la banque sur un morceau de papier.

    Ces derniers s’en seraient ensuite servis à de mauvaises fins, faisant perdre à la banque plus de 3,2 millions de dollars à la suite de transactions frauduleuses. En effet, un rapport interne indique qu'entre mars et décembre 2019, les responsables ont utilisé la clé principale pour accéder aux comptes et effectuer plus de 25 000 transactions frauduleuses, volant plus de 3,2 millions de dollars des soldes des clients.


    Pour ceux qui ne le savent pas, la clé principale est un code à 36 chiffres (clé de chiffrement) qui permet à son titulaire de déchiffrer les opérations de la banque, et même d'accéder et de modifier les systèmes bancaires. Il est également utilisé pour générer des clés pour les cartes client. Il s’agit donc là d’une information très importante qui peut avoir de très graves conséquences si elle tombe entre de mauvaises mains et c’est justement ce qui s’est passé.

    En règle générale, selon les meilleures pratiques, cette clé est gérée sur des serveurs dédiés (avec un système d'exploitation dédié) et est hautement protégée contre l'accès physique. Autrement dit, une seule personne n'a pas accès à l'intégralité de la clé puisque celle-ci est répartie entre différents gestionnaires ou des personnes importantes fiables. La totalité de la clé ne peut donc être reconstruite que si toutes les personnes impliquées sont corrompues. D’un autre côté, les personnes et la clé sont changées périodiquement, précisément pour éviter ce type de fraude.

    Ceci fait de cette affaire, un incident unique dans son genre étant donné que les clés de banque sont le secret le plus sensible d'une banque et sont gardées en conséquence. Après avoir découvert cette violation, la Postbank se voit donc obligée de remplacer toutes les cartes client générées avec la clé principale compromise. Cela inclut le remplacement des cartes de paiement normales, mais aussi des cartes pour recevoir des prestations sociales gouvernementales. D’après la banque, cette opération devrait lui coûter environ 58 millions de dollars.

    Malgré tout, certains internautes se posent toujours la question de savoir s’il ne s’agit pas d’un complot. En fait, ils ne comprennent pas comment cela a pu se produire surtout quand on connaît tous les protocoles de sécurité qui sont mis en place pour garantir la sécurité de cette clé.

    Source : Sunday Times

    Et vous ?

    Qu’en pensez-vous ?
    Pensez-vous que tout soit dit dans cette affaire ?

    Voir aussi :

    Près de 80 % des firmes ont subi une fuite de données liée à leurs infrastructures cloud dans les 18 derniers mois, les erreurs de configuration sont en tête des menaces à la sécurité révèle l'IDC
    Les violations de données ont coûté aux organisations américaines 1,8 billion $ au cours des 2 dernières années, avec l'accès non autorisé comme l'attaque la plus courante en 2019, selon un rapport
    En 2019, presque 15,2 milliards d'enregistrements de données ont été exposés et plus de 7 000 infractions ont été signalées, d'après un rapport
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent
    Je m'interroge sur : "D’un autre côté, les personnes et la clé sont changées périodiquement, précisément pour éviter ce type de fraude. "

    On est ici justement sur un changement de clé.
    Donc cela veut dire que périodiquement on renouvelle massivement les cartes bleues pour changement de clé ?
    Ce cycle correspond-t-il à la date de validité qu'on voit apparaître sur une carte bleue ?

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  3. #3
    Expert éminent sénior
    Citation Envoyé par transgohan Voir le message
    On est ici justement sur un changement de clé.
    Donc cela veut dire que périodiquement on renouvelle massivement les cartes bleues pour changement de clé ?
    Ce cycle correspond-t-il à la date de validité qu'on voit apparaître sur une carte bleue ?
    Non. On ne change pas tous les cartes bleues au même moment.

    Le changement des cartes bleues est aussi pour changer le hardware, et corriger des problèmes/ajouter des fonctions.
    Les clés peuvent être mises à jour à distance sur ta carte bancaire, où tu as tout un système de clés.


    Là le problème est que la clés maître volée, toutes les clés peuvent être assumées déchiffrées/volées.
    Si tu changes juste de clé maître, il te suffit juste de rechiffrer les clés et de supprimer les anciens chiffrés.
    "Parce que le diable est dans les détails, une vision sans nuance ne peut prétendre à la compréhension du monde."

    Mon ancienne page perso : https://neckara.developpez.com/

  4. #4
    Membre éclairé
    Malgré tout, certains internautes se posent toujours la question de savoir s’il ne s’agit pas d’un complot. En fait, ils ne comprennent pas comment cela a pu se produire surtout quand on connaît tous les protocoles de sécurité qui sont mis en place pour garantir la sécurité de cette clé.
    Qu'est ce qui garanti que cette banque en particulier à implémenter les protocoles de sécurités de façon strictes ? Qu'elle respecte les "selon les meilleurs pratiques" ?

  5. #5
    Expert éminent sénior
    Citation Envoyé par walfrat Voir le message
    Qu'est ce qui garanti que cette banque en particulier à implémenter les protocoles de sécurités de façon strictes ? Qu'elle respecte les "selon les meilleurs pratiques" ?
    Cela dépend de ce dont on parle exactement, mais pour les cartes bancaires, tu as des certifications à passer.
    "Parce que le diable est dans les détails, une vision sans nuance ne peut prétendre à la compréhension du monde."

    Mon ancienne page perso : https://neckara.developpez.com/

  6. #6
    Membre émérite
    Bonsoir,

    Une banque sud-africaine est forcée de remplacer 12 millions de cartes bancaires après une violation

    Qu’en pensez-vous ?
    Cela parait "dingue" . Non respect des normes PCI DSS avec un saupoudrage de corruption ?

    Cela me rappelle une anecdote qu'un ancien collègue m'a raconté.

    Début des années 1980 , pour un caisse régionale d'une grosse banque française qui existe toujours . C'était le début de la carrière de mon ancien collègue. La banque en question avait un "serveur" ou il était possible d'accès à des numéros de cartes en clair , avec le code à 4 chiffres et le numéro de compte ... Le tout sur des systèmes de type BULL et AS400

    Pas de piratage a l'époque ... une sécurité passoire par contre.

    Pensez-vous que tout soit dit dans cette affaire ?
    Concernant une banque africaine, on peut craindre de la corruption et du piratage venant de Chine en particulier ... La Chine essaye d'avoir la main mise sur le système économique africain (banque, service financier, télécom ... )

  7. #7
    Membre averti
    Le changement des cartes semble moins important que celui de tous les responsables...

  8. #8
    Membre éclairé
    Citation Envoyé par Neckara Voir le message
    Cela dépend de ce dont on parle exactement, mais pour les cartes bancaires, tu as des certifications à passer.
    Je pensais au problème évoqué par l'article, donc la protection de la clé privée maître.

  9. #9
    Membre à l'essai
    Titre racoleur et mensonger
    Serait-il possible d'arrêter d'utiliser "ses" à la place de "des".
    Les généralisations abusives, en plus d'être fausses factuellement, génèrent inévitablement de la discrimination, et dans certains contextes du racisme.
    Cela ne permet en rien une réflexion saine et digne de ce nom.
    Bref, cet article aurait dû s'intituler : "Une banque sud-africaine est forcée de remplacer 12 millions de cartes bancaires après que des employés eurent volé la clé principale et réussi à dérober près de 3,2 millions de dollars"