C’est en passe de devenir le hold-up numérique le plus important de l’histoire des États-Unis. Le vol de données bancaires et personnelles qui semblait, en début de semaine dernière, circonscrit à la chaîne américaine de magasins discount Target, se révèle être bien plus important quant aux nombres de victimes et d’enseignes attaquées. En décembre, l’enseigne avait annoncé que les données bancaires de 40 millions de clients avaient été dérobées.

L’addition est en fait bien plus salée. Vendredi 10 janvier, les responsables de Target ont reconnu que le vol concerne au moins 70 millions de personnes, et n’excluent pas que ce chiffre puisse dépasser les 100 millions. En outre, les données personnelles ont également été récupérées par les pirates informatiques.

Target n’est, en outre, plus seul à avoir été ciblé par les cyber-criminels. La chaîne de magasin de luxe Neumann Marcus a reconnu, samedi 11 janvier, avoir également été touchée par un vol de données bancaires de certains de ses clients. Mais l’enseigne n’a pas précisé combien de personnes sont concernées.

Enfin, Reuters a affirmé, dimanche 12 janvier, qu’au moins trois autres “chaînes commerciales de renom” ont vu leur système de paiement piraté, d’après des informations fournies par plusieurs sources anonymes. Cette vaste opération concerne, donc, potentiellement un Américain sur trois. Du jamais vu en matière de hold-up numérique aux États-Unis.

Merci Thanksgiving

Difficile, voire impossible d’affirmer, pour l’heure, que les mêmes pirates informatiques sont responsables de toutes les attaques. L’enquête ne fait, en effet, que commencer. Mais le calendrier et le mode opératoire semblent, cependant, indiquer une opération coordonnée.

Tous les vols se sont déroulés aux alentours de Thanksgiving et se sont poursuivis jusqu’à mi-décembre. Normal : après cette fête nationale, la plupart des commerçants américains proposent d’importantes soldes au cours d’une journée (le 29 novembre cette année) baptisée “Black Friday”. La frénésie d’achats qui s’ensuit et celle pour les fêtes de fin d’année constituent une occasion en or pour des cyber-criminels.

Ces voleurs n’ont pas seulement choisi la même période pour agir, mais aussi la même méthode pour entrer par effraction dans les systèmes électroniques. Aucune des enseignes n’a, certes, voulu donner le détail des failles de sécurité exploitées par les criminels, mais les experts en sécurité désignent tous le même suspect : le “ram-scrapper” (littéralement gratte-RAM).

Un nom barbare qui désigne, en fait, une catégorie de logiciels malveillants contre laquelle le géant des cartes de crédit Visa a déjà lancé deux alertes en avril et août 2013. C’est un cheval de Troie dont le rôle est de guetter les quelques millisecondes durant lesquelles toutes les données d’une carte de crédit sont décryptées (donc lisibles en clair) pour valider une transaction. Les pirates informatiques ont donc compromis le système informatique qui fait fonctionner toutes les caisses enregistreuses des magasins pris pour cible. Les données ainsi siphonnées par ce logiciel sont, ensuite, recopiées sur un fichier texte envoyé aux cybervoleurs qui se retrouvent les “heureux” propriétaires d’un juteux butin.