Une firme de sécurité poursuivie pour ne pas avoir pu détecter un malware
Qui a permis de pirater les données de plus de 650 clients d'une entreprise

Le , par Stan Adkens, Chroniqueur Actualités
Heartland, une importante société de traitement des paiements, a été victime d’une attaque cybercriminelle en 2009 qui avait compromis ses systèmes.

Cependant, Trustwave, une firme de sécurité des données, était en charge de l'évaluation annuelle de conformité des exigences de sécurité des données de l'industrie des cartes de paiement de Heartland et des procédures d'évaluation de la sécurité depuis 2005.

Deux sociétés d’assurance, Lexington Insurance Company et Beazley Insurance Company, accusent Trustwave Holdings d’être responsable de la vulnérabilité qui a permis aux pirates d’accéder à environ 100 millions de numéros de cartes de crédit et de débit de plus de 650 sociétés de services financiers, exposant Heartland à plus de 148 millions de dollars de frais de règlement pour sa responsabilité, ses dommages, ses frais de réparation et autres. Une plainte a été déposée, à cet effet, le 28 juin dernier à Cook County Circuit.


Les deux compagnies d'assurance demandent à la firme de sécurité le paiement d’un montant de 30 millions de dollars pour rembourser les fonds qu'elles ont dû verser pour régler les réclamations de leur client, Heartland, qui a subi l’incident de violation de données. En effet, le litige entre les compagnies d’assurance et Heartland a été résolu, le 3 mars 2015, par des règlements ou des congédiements et Lexington a dû verser 20 millions de dollars à Heartland tandis que Beazley a remboursé 10 millions de dollars conformément à leurs polices d'assurance.

Les faits remontent en 2005. Selon la plainte des assureurs, Heartland a signé son premier contrat avec Trustwave en 2005 pour l'évaluation annuelle de la conformité des exigences de sécurité des données de l'industrie des cartes de paiement et des procédures d'évaluation de la sécurité. Dans l’exécution de son contrat, Trustwave a effectué des analyses mensuelles de vulnérabilités en 2006 et 2007. Il a, par la suite, associé au contrat un service de validation de conformité pour le contrat PCI DSS, qui a ajouté la validation à distance, la pénétration du réseau et les services de validation sur site.

Selon les assureurs plaignants, la violation de données survenue en 2009 aurait commencé depuis le 24 juillet 2007, lorsque les hackers ont installé le code malveillant sur le système de Heartland par le biais d'une attaque d'injection SQL visant à rassembler des séquences de bandes magnétiques. Le logiciel malveillant a été installé effectivement le 14 mai 2008. Pendant cette période, Trustwave effectuait des évaluations qui n'ont donné lieu à aucun rapport de code malveillant ou de logiciel malveillant sur les systèmes de Heartland, selon Lexington et Beazley. Par ailleurs, la plainte des assureurs dit que Trustwave a certifié les systèmes de Heartland conformes aux normes PCI DSS en 2007 et en 2008.

La plainte ajoute que Heartland a dû faire face à des dépenses d’un montant de plus 148 millions de dollars et s'est, également, défendu dans au moins 16 plaintes pour recours collectif auprès des consommateurs, 14 recours collectifs auprès des institutions financières et quatre recours collectifs en valeurs mobilières.

Suite à ces recours, Visa, multinationale américaine de services financiers, a mené une enquête indépendante.
Bien que les systèmes de Heartland fussent protégés par Trustwave, les enquêtes de Visa ont révélé huit violations de la norme PCI DSS, d’où la certification à cette norme qu’avait assurée Trustwave était incorrecte. Plusieurs vulnérabilités ont été relevées par Visa lors de son enquête telles qu’un pare-feu défaillant, l’utilisation des valeurs par défaut fournies par le fournisseur pour les mots de passe et d'autres paramètres de sécurité, une protection insuffisante des données stockées, l'incapacité de développer et de maintenir des systèmes et des applications sécurisés, des lacunes dans la restriction d'accès aux données et l'impossibilité d'attribuer une identification unique à chaque personne ayant un accès à l'ordinateur, etc.

Les chefs d’accusions des assureurs contre Trustwave sont : la violation des accords de 2005 et 2007 avec Heartland, la violation de la garantie expresse et la violation de l'indemnisation contractuelle liée aux deux contrats, la déclaration inexacte faite par négligence et négligence grave. Lexington et Beazley réclament, également, au moins 30 millions de dollars « pour les responsabilités, les dommages, les coûts d'assainissement, les frais et autres dommages indirects qu'ils ont subis ».

Trustwave a réagi à la plainte en déclarant avoir intenté un procès contre Lexington et Beazley en réponse à la tentative tardive et injustifiée de recouvrer les dépenses effectuées lors du règlement de l’affaire de violation de données tout en fournissant à Heartland une évaluation de sa conformité à la norme PCI DSS. « La demande des assureurs liée à une violation vieille de dix ans est entièrement dénuée de fondement, Trustwave a intenté le procès afin d'obtenir une résolution de ces demandes sans fondement et entend poursuivre vigoureusement cette affaire. »

Mais, il s’avère qu’une telle évaluation de la conformité à la norme PCI DSS, conformément au contrat qui lie Trustwave à Heartland, ne garantit en aucune manière que la société examinée n'a pas ou ne peut pas être violée. Les assureurs ont déposé une poursuite en double dans l’Illinois sur la même question.

Source : Cook County Record

Et vous ?

Qu’en pensez-vous ?
Pensez-vous que la responsabilité de cette violation de données incombe-t-elle à Trustwave ?

Voir aussi

Une vulnérabilité permettant l'exécution de code à distance a été découverte dans le framework Electron, mais elle peut être corrigée manuellement
USA : 57 % des entreprises estiment difficile de trouver des compétences pointues en cybersécurité, et 35 % trouvent difficile de les retenir
Hacking : des attaques par injection SQL permettent à trois américains de voler plus de 130 millions de numéros de cartes bleues. Comment contrer ces attaques ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Stérilux Stérilux - Membre du Club https://www.developpez.com
le 11/07/2018 à 12:35
Pensez-vous que la responsabilité de cette violation de données incombe-t-elle à Trustwave ?
Si les éléments fournis par Visa sont exacte, c'est clairement le cas. Il y a eu un audit bâclé, Trustwave n'a pas fait son boulot correctement.

Il est temps que les boîtes informatique arrêtent de faire que la moitié du boulot et quelque soit le domaine. La médiocrité est devenu la normalité du monde informatique et il est grand temps que cela cesse.
Avatar de Coeur De Roses Coeur De Roses - Nouveau membre du Club https://www.developpez.com
le 11/07/2018 à 13:04
Citation Envoyé par Stérilux Voir le message
Si les éléments fournis par Visa sont exacte, c'est clairement le cas. Il y a eu un audit bâclé, Trustwave n'a pas fait son boulot correctement.

Il est temps que les boîtes informatique arrêtent de faire que la moitié du boulot et quelque soit le domaine. La médiocrité est devenu la normalité du monde informatique et il est grand temps que cela cesse.

Je suis tout à fait d'accord.
Avatar de earhater earhater - Membre confirmé https://www.developpez.com
le 11/07/2018 à 13:48
Entièrement d'accord avec mes deux VDD, un commercial ne suffit pas pour faire le boulot. Un audit est un audit, et si les éléments avancés sont véridiques alors le travail est baclé. Je bosse dans une grande multinationale et ces audits indépendants sont toujours une bénédiction car effectués par des gars qui font les choses correctement.

 
Contacter le responsable de la rubrique Accueil