IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une banque sud-africaine est forcée de remplacer 12 millions de cartes bancaires après une violation


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2013
    Messages
    378
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2013
    Messages : 378
    Points : 10 415
    Points
    10 415
    Par défaut Une banque sud-africaine est forcée de remplacer 12 millions de cartes bancaires après une violation
    Une banque sud-africaine est forcée de remplacer 12 millions de cartes bancaires
    après que ses employés avaient volé la clé principale et réussi à dérober près de 3,2 millions de dollars

    La Postbank est la division bancaire du bureau de poste sud-africain. C’est dans son ancien centre de données situé dans la ville de Prétoria que se serait produit l’irréparable qui force désormais la banque à remplacer 12 millions de ses cartes bancaires. D’après le Sunday Times, le média local qui a rendu l’histoire publique, il semble que tout soit parti du fait qu’en décembre 2018, certains employés de ce centre de données aient imprimé la clé principale de la banque sur un morceau de papier.

    Ces derniers s’en seraient ensuite servis à de mauvaises fins, faisant perdre à la banque plus de 3,2 millions de dollars à la suite de transactions frauduleuses. En effet, un rapport interne indique qu'entre mars et décembre 2019, les responsables ont utilisé la clé principale pour accéder aux comptes et effectuer plus de 25 000 transactions frauduleuses, volant plus de 3,2 millions de dollars des soldes des clients.

    Nom : 1 (1).jpg
Affichages : 1982
Taille : 31,0 Ko

    Pour ceux qui ne le savent pas, la clé principale est un code à 36 chiffres (clé de chiffrement) qui permet à son titulaire de déchiffrer les opérations de la banque, et même d'accéder et de modifier les systèmes bancaires. Il est également utilisé pour générer des clés pour les cartes client. Il s’agit donc là d’une information très importante qui peut avoir de très graves conséquences si elle tombe entre de mauvaises mains et c’est justement ce qui s’est passé.

    En règle générale, selon les meilleures pratiques, cette clé est gérée sur des serveurs dédiés (avec un système d'exploitation dédié) et est hautement protégée contre l'accès physique. Autrement dit, une seule personne n'a pas accès à l'intégralité de la clé puisque celle-ci est répartie entre différents gestionnaires ou des personnes importantes fiables. La totalité de la clé ne peut donc être reconstruite que si toutes les personnes impliquées sont corrompues. D’un autre côté, les personnes et la clé sont changées périodiquement, précisément pour éviter ce type de fraude.

    Ceci fait de cette affaire, un incident unique dans son genre étant donné que les clés de banque sont le secret le plus sensible d'une banque et sont gardées en conséquence. Après avoir découvert cette violation, la Postbank se voit donc obligée de remplacer toutes les cartes client générées avec la clé principale compromise. Cela inclut le remplacement des cartes de paiement normales, mais aussi des cartes pour recevoir des prestations sociales gouvernementales. D’après la banque, cette opération devrait lui coûter environ 58 millions de dollars.

    Malgré tout, certains internautes se posent toujours la question de savoir s’il ne s’agit pas d’un complot. En fait, ils ne comprennent pas comment cela a pu se produire surtout quand on connaît tous les protocoles de sécurité qui sont mis en place pour garantir la sécurité de cette clé.

    Source : Sunday Times

    Et vous ?

    Qu’en pensez-vous ?
    Pensez-vous que tout soit dit dans cette affaire ?

    Voir aussi :

    Près de 80 % des firmes ont subi une fuite de données liée à leurs infrastructures cloud dans les 18 derniers mois, les erreurs de configuration sont en tête des menaces à la sécurité révèle l'IDC
    Les violations de données ont coûté aux organisations américaines 1,8 billion $ au cours des 2 dernières années, avec l'accès non autorisé comme l'attaque la plus courante en 2019, selon un rapport
    En 2019, presque 15,2 milliards d'enregistrements de données ont été exposés et plus de 7 000 infractions ont été signalées, d'après un rapport
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 376
    Points
    9 376
    Par défaut
    Je m'interroge sur : "D’un autre côté, les personnes et la clé sont changées périodiquement, précisément pour éviter ce type de fraude. "

    On est ici justement sur un changement de clé.
    Donc cela veut dire que périodiquement on renouvelle massivement les cartes bleues pour changement de clé ?
    Ce cycle correspond-t-il à la date de validité qu'on voit apparaître sur une carte bleue ?

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  3. #3
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 012
    Points : 23 199
    Points
    23 199
    Par défaut
    Citation Envoyé par transgohan Voir le message
    On est ici justement sur un changement de clé.
    Donc cela veut dire que périodiquement on renouvelle massivement les cartes bleues pour changement de clé ?
    Ce cycle correspond-t-il à la date de validité qu'on voit apparaître sur une carte bleue ?
    Non. On ne change pas tous les cartes bleues au même moment.

    Le changement des cartes bleues est aussi pour changer le hardware, et corriger des problèmes/ajouter des fonctions.
    Les clés peuvent être mises à jour à distance sur ta carte bancaire, où tu as tout un système de clés.


    Là le problème est que la clés maître volée, toutes les clés peuvent être assumées déchiffrées/volées.
    Si tu changes juste de clé maître, il te suffit juste de rechiffrer les clés et de supprimer les anciens chiffrés.

  4. #4
    Membre chevronné
    Profil pro
    Inscrit en
    juin 2009
    Messages
    634
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2009
    Messages : 634
    Points : 2 059
    Points
    2 059
    Par défaut
    Malgré tout, certains internautes se posent toujours la question de savoir s’il ne s’agit pas d’un complot. En fait, ils ne comprennent pas comment cela a pu se produire surtout quand on connaît tous les protocoles de sécurité qui sont mis en place pour garantir la sécurité de cette clé.
    Qu'est ce qui garanti que cette banque en particulier à implémenter les protocoles de sécurités de façon strictes ? Qu'elle respecte les "selon les meilleurs pratiques" ?

  5. #5
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 012
    Points : 23 199
    Points
    23 199
    Par défaut
    Citation Envoyé par walfrat Voir le message
    Qu'est ce qui garanti que cette banque en particulier à implémenter les protocoles de sécurités de façon strictes ? Qu'elle respecte les "selon les meilleurs pratiques" ?
    Cela dépend de ce dont on parle exactement, mais pour les cartes bancaires, tu as des certifications à passer.

  6. #6
    Inactif  

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 064
    Points : 4 561
    Points
    4 561
    Par défaut
    Bonsoir,

    Une banque sud-africaine est forcée de remplacer 12 millions de cartes bancaires après une violation

    Qu’en pensez-vous ?
    Cela parait "dingue" . Non respect des normes PCI DSS avec un saupoudrage de corruption ?

    Cela me rappelle une anecdote qu'un ancien collègue m'a raconté.

    Début des années 1980 , pour un caisse régionale d'une grosse banque française qui existe toujours . C'était le début de la carrière de mon ancien collègue. La banque en question avait un "serveur" ou il était possible d'accès à des numéros de cartes en clair , avec le code à 4 chiffres et le numéro de compte ... Le tout sur des systèmes de type BULL et AS400

    Pas de piratage a l'époque ... une sécurité passoire par contre.

    Pensez-vous que tout soit dit dans cette affaire ?
    Concernant une banque africaine, on peut craindre de la corruption et du piratage venant de Chine en particulier ... La Chine essaye d'avoir la main mise sur le système économique africain (banque, service financier, télécom ... )

  7. #7
    Membre confirmé

    Profil pro
    Inscrit en
    mai 2003
    Messages
    278
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2003
    Messages : 278
    Points : 644
    Points
    644
    Billets dans le blog
    1
    Par défaut
    Le changement des cartes semble moins important que celui de tous les responsables...

  8. #8
    Membre chevronné
    Profil pro
    Inscrit en
    juin 2009
    Messages
    634
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2009
    Messages : 634
    Points : 2 059
    Points
    2 059
    Par défaut
    Citation Envoyé par Neckara Voir le message
    Cela dépend de ce dont on parle exactement, mais pour les cartes bancaires, tu as des certifications à passer.
    Je pensais au problème évoqué par l'article, donc la protection de la clé privée maître.

  9. #9
    Candidat au Club
    Homme Profil pro
    Consultant E-Business
    Inscrit en
    juillet 2020
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : France, Cantal (Auvergne)

    Informations professionnelles :
    Activité : Consultant E-Business

    Informations forums :
    Inscription : juillet 2020
    Messages : 1
    Points : 3
    Points
    3
    Par défaut
    Oui exactement j'ai lue quelque par que la banque Postbank a été victime d'un détournement de données majeur. Il faut désormais remplacer 12 millions de cartes bancaires suite au vol de la clé maîtresse. Selon les informations disponibles, des employés seraient à l'origine du vol. Une enquête interne a été menée, donc cette affaire est une affaire de cybercriminalité ou des employée de la banque eux mème ont prés aux vol avec des complices externe, cas sans leur aide il pouvait pas arriver a faire un telle acte, pour plus d'informations sur se sujet regardez se blog Sekurigi Actualités Sécurité Informatique

  10. #10
    Inactif  

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 064
    Points : 4 561
    Points
    4 561
    Par défaut
    Bonsoir,

    Citation Envoyé par sekurigi Voir le message
    Oui exactement j'ai lue quelque par que la banque Postbank a été victime d'un détournement de données majeur. Il faut désormais remplacer 12 millions de cartes bancaires suite au vol de la clé maîtresse. Selon les informations disponibles, des employés seraient à l'origine du vol. Une enquête interne a été menée, donc cette affaire est une affaire de cybercriminalité ou des employée de la banque eux mème ont prés aux vol avec des complices externe, cas sans leur aide il pouvait pas arriver a faire un telle acte
    Pour avoir taffé dans le domaine de la lutte contre la fraude au moyen de paiement , ce type de "détournement malhonnête" est encore trop répandu ...

    Un truc tout con. Les abonnements "presse" ou le secteur de la VPC (wé les truc textiles pour les vieux ) ... il y a encore la possibilité de donner son numéro de CB sur papier libre avec le CVV2

    De temps à autre on apprend par voie de fait que des employés indélicats pompe la donnée et recopie les numéros ...

    Ou alors des conseillers bancaires qui détournent de l'argent de comptes ...

Discussions similaires

  1. [sed] Remplacer chaînes de caractères se trouvant après une chaîne
    Par alex_m94 dans le forum Shell et commandes GNU
    Réponses: 6
    Dernier message: 24/10/2017, 14h05
  2. Réponses: 39
    Dernier message: 28/01/2015, 15h13
  3. [PowerShell] Set-QADObject : Une violation de contrainte s'est produite
    Par G-Orwell dans le forum Scripts/Batch
    Réponses: 1
    Dernier message: 13/06/2013, 11h24
  4. [clodmu] Au nord ou au sud ? C'est selon
    Par clodmu dans le forum Présentations
    Réponses: 0
    Dernier message: 14/12/2010, 10h23
  5. [IB] explication sur "sweep" est "forced writes" ?
    Par maamar1979 dans le forum Débuter
    Réponses: 1
    Dernier message: 26/06/2006, 18h23

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo