Discussion :

[Jonathan]

Une banque sud-africaine est forcée de remplacer 12 millions de cartes bancaires
après que ses employés avaient volé la clé principale et réussi à dérober près de 3,2 millions de dollars

La Postbank est la division bancaire du bureau de poste sud-africain. C’est dans son ancien centre de données situé dans la ville de Prétoria que se serait produit l’irréparable qui force désormais la banque à remplacer 12 millions de ses cartes bancaires. D’après le Sunday Times, le média local qui a rendu l’histoire publique, il semble que tout soit parti du fait qu’en décembre 2018, certains employés de ce centre de données aient imprimé la clé principale de la banque sur un morceau de papier.

Ces derniers s’en seraient ensuite servis à de mauvaises fins, faisant perdre à la banque plus de 3,2 millions de dollars à la suite de transactions frauduleuses. En effet, un rapport interne indique qu'entre mars et décembre 2019, les responsables ont utilisé la clé principale pour accéder aux comptes et effectuer plus de 25 000 transactions frauduleuses, volant plus de 3,2 millions de dollars des soldes des clients.

Pour ceux qui ne le savent pas, la clé principale est un code à 36 chiffres (clé de chiffrement) qui permet à son titulaire de déchiffrer les opérations de la banque, et même d'accéder et de modifier les systèmes bancaires. Il est également utilisé pour générer des clés pour les cartes client. Il s’agit donc là d’une information très importante qui peut avoir de très graves conséquences si elle tombe entre de mauvaises mains et c’est justement ce qui s’est passé.

En règle générale, selon les meilleures pratiques, cette clé est gérée sur des serveurs dédiés (avec un système d'exploitation dédié) et est hautement protégée contre l'accès physique. Autrement dit, une seule personne n'a pas accès à l'intégralité de la clé puisque celle-ci est répartie entre différents gestionnaires ou des personnes importantes fiables. La totalité de la clé ne peut donc être reconstruite que si toutes les personnes impliquées sont corrompues. D’un autre côté, les personnes et la clé sont changées périodiquement, précisément pour éviter ce type de fraude.

Ceci fait de cette affaire, un incident unique dans son genre étant donné que les clés de banque sont le secret le plus sensible d'une banque et sont gardées en conséquence. Après avoir découvert cette violation, la Postbank se voit donc obligée de remplacer toutes les cartes client générées avec la clé principale compromise. Cela inclut le remplacement des cartes de paiement normales, mais aussi des cartes pour recevoir des prestations sociales gouvernementales. D’après la banque, cette opération devrait lui coûter environ 58 millions de dollars.

Malgré tout, certains internautes se posent toujours la question de savoir s’il ne s’agit pas d’un complot. En fait, ils ne comprennent pas comment cela a pu se produire surtout quand on connaît tous les protocoles de sécurité qui sont mis en place pour garantir la sécurité de cette clé.

Source : Sunday Times

Et vous ?

Qu’en pensez-vous ?
Pensez-vous que tout soit dit dans cette affaire ?

Voir aussi :

Près de 80 % des firmes ont subi une fuite de données liée à leurs infrastructures cloud dans les 18 derniers mois, les erreurs de configuration sont en tête des menaces à la sécurité révèle l'IDC
Les violations de données ont coûté aux organisations américaines 1,8 billion $ au cours des 2 dernières années, avec l'accès non autorisé comme l'attaque la plus courante en 2019, selon un rapport
En 2019, presque 15,2 milliards d'enregistrements de données ont été exposés et plus de 7 000 infractions ont été signalées, d'après un rapport

[transgohan]

Je m'interroge sur : "D’un autre côté, les personnes et la clé sont changées périodiquement, précisément pour éviter ce type de fraude. "

On est ici justement sur un changement de clé.
Donc cela veut dire que périodiquement on renouvelle massivement les cartes bleues pour changement de clé ?
Ce cycle correspond-t-il à la date de validité qu'on voit apparaître sur une carte bleue ?

[Neckara]

On est ici justement sur un changement de clé.
Donc cela veut dire que périodiquement on renouvelle massivement les cartes bleues pour changement de clé ?
Ce cycle correspond-t-il à la date de validité qu'on voit apparaître sur une carte bleue ?

Non. On ne change pas tous les cartes bleues au même moment.

Le changement des cartes bleues est aussi pour changer le hardware, et corriger des problèmes/ajouter des fonctions.
Les clés peuvent être mises à jour à distance sur ta carte bancaire, où tu as tout un système de clés.


Là le problème est que la clés maître volée, toutes les clés peuvent être assumées déchiffrées/volées.
Si tu changes juste de clé maître, il te suffit juste de rechiffrer les clés et de supprimer les anciens chiffrés.

[walfrat]

Malgré tout, certains internautes se posent toujours la question de savoir s’il ne s’agit pas d’un complot. En fait, ils ne comprennent pas comment cela a pu se produire surtout quand on connaît tous les protocoles de sécurité qui sont mis en place pour garantir la sécurité de cette clé.

Qu'est ce qui garanti que cette banque en particulier à implémenter les protocoles de sécurités de façon strictes ? Qu'elle respecte les "selon les meilleurs pratiques" ?

[Neckara]

Qu'est ce qui garanti que cette banque en particulier à implémenter les protocoles de sécurités de façon strictes ? Qu'elle respecte les "selon les meilleurs pratiques" ?

Cela dépend de ce dont on parle exactement, mais pour les cartes bancaires, tu as des certifications à passer.

[tanaka59]

Bonsoir,

Une banque sud-africaine est forcée de remplacer 12 millions de cartes bancaires après une violation

Qu’en pensez-vous ?

Cela parait "dingue" . Non respect des normes PCI DSS avec un saupoudrage de corruption ?

Cela me rappelle une anecdote qu'un ancien collègue m'a raconté.

Début des années 1980 , pour un caisse régionale d'une grosse banque française qui existe toujours . C'était le début de la carrière de mon ancien collègue. La banque en question avait un "serveur" ou il était possible d'accès à des numéros de cartes en clair , avec le code à 4 chiffres et le numéro de compte ... Le tout sur des systèmes de type BULL et AS400

Pas de piratage a l'époque ... une sécurité passoire par contre.

Pensez-vous que tout soit dit dans cette affaire ?

Concernant une banque africaine, on peut craindre de la corruption et du piratage venant de Chine en particulier ... La Chine essaye d'avoir la main mise sur le système économique africain (banque, service financier, télécom ... )

[JackIsJack]

Le changement des cartes semble moins important que celui de tous les responsables...

[walfrat]

Cela dépend de ce dont on parle exactement, mais pour les cartes bancaires, tu as des certifications à passer.

Je pensais au problème évoqué par l'article, donc la protection de la clé privée maître.

[sekurigi]

Oui exactement j'ai lue quelque par que la banque Postbank a été victime d'un détournement de données majeur. Il faut désormais remplacer 12 millions de cartes bancaires suite au vol de la clé maîtresse. Selon les informations disponibles, des employés seraient à l'origine du vol. Une enquête interne a été menée, donc cette affaire est une affaire de cybercriminalité ou des employée de la banque eux mème ont prés aux vol avec des complices externe, cas sans leur aide il pouvait pas arriver a faire un telle acte, pour plus d'informations sur se sujet regardez se blog Sekurigi Actualités Sécurité Informatique

[tanaka59]

Bonsoir,

Oui exactement j'ai lue quelque par que la banque Postbank a été victime d'un détournement de données majeur. Il faut désormais remplacer 12 millions de cartes bancaires suite au vol de la clé maîtresse. Selon les informations disponibles, des employés seraient à l'origine du vol. Une enquête interne a été menée, donc cette affaire est une affaire de cybercriminalité ou des employée de la banque eux mème ont prés aux vol avec des complices externe, cas sans leur aide il pouvait pas arriver a faire un telle acte

Pour avoir taffé dans le domaine de la lutte contre la fraude au moyen de paiement , ce type de "détournement malhonnête" est encore trop répandu ...

Un truc tout con. Les abonnements "presse" ou le secteur de la VPC (wé les truc textiles pour les vieux ) ... il y a encore la possibilité de donner son numéro de CB sur papier libre avec le CVV2

De temps à autre on apprend par voie de fait que des employés indélicats pompe la donnée et recopie les numéros ...

Ou alors des conseillers bancaires qui détournent de l'argent de comptes ...