L’histoire est plus ou moins récente et a été révélée le 8 décembre par le tribunal de district du New Hapmshire. Il raconte comment les pirates informatiques ont fini par donner une lourde leçon au réseau de sandwicheries Subway depuis 2008 et comment le simple fait de payer un repas avec une carte de crédit peut facilement se transformer en un mal de tête diabolique.
Les rachers roumains, ces vampires maléfiques, auraient eu accès aux données des cartes de crédit des ordinateurs des points de vente des franchisés du réseau Subway, ainsi que d’au moins 50 autres petits distributeurs.
Le résultat ? Plus de 3 millions d’obamas en fraude et un festival de plaintes avec les opérateurs financiers.
Pour causer les mêmes dommages partout ailleurs, pour ceux qui sont prêts à prendre des risques stupides et lucratifs, la traquitana en question n’a rien de sophistiqué. La plupart des logiciels sont disponibles gratuitement sur le réseau et, pour changer, tout dépendra beaucoup plus de la négligence de l’utilisateur que du pouvoir de fuite du crime.
La passerelle était le fait que de nombreux employés n’exécutaient pas les protocoles d’authentification sur chaque machine au point de vente, qui figurait comme le principal facilitateur. Dans le cas particulier de Subway, il y a eu plus de 80 000 victimes jusqu’à ce que l’administrateur du système central réalise que quelque chose n’allait pas. Evan Schuman et un autre des opérateurs de crédit ont découvert la fraude presque en même temps.
Dans un premier temps, toute action de piratage informatique reposait sur pratiquement deux points : l’accès à distance à des machines vulnérables et imprudentes qui font tourner des logiciels de point de vente (caisse, commandes, stock, etc.) sur pratiquement tous les franchisés du réseau. Pour couronner le tout, un cheval de Troie (xp.exe) a effectué l’enregistrement complet de toutes les machines et une porte dérobée a même été installée pour les reconnecter fréquemment. Une honte.
C’est-à-dire qu’il suffit de glisser la carte de crédit que quelqu’un attendrait de l’autre côté du “plateau”. L’information a été soustraite en masse. Étant donné que le réseau de métro traite quotidiennement un nombre important de commandes dans tout le pays, vous pouvez imaginer combien d’employés sont déjà à la recherche d’un autre emploi pendant que vous terminez ce texte.
Comme un projet d’une telle ampleur ne peut normalement pas être géré par une seule personne, les données sont vendues librement sur Internet par le biais de domaines aux États-Unis, même achetés avec leurs propres cartes de crédit. L’un des acteurs indirects, Cezar Iulian Butu, a pressé de nouvelles cartes clonées dans une maison en Belgique et a dépensé l’argent en paris dans des magasins locaux.
Un fait un peu plus récent, annoncé hier : le grossiste du même secteur Restaurant Depot a fait soustraire un nombre encore plus important de cartes et de coordonnées bancaires : plus de 200 mille cartes.
Une société d’audit de sécurité a signalé que des logiciels malveillants avaient été installés dans tout le système de traitement des transactions par carte de crédit et de débit, compromettant les données de milliers de clients de la société du 21 septembre au 18 novembre.
La société a publié une lettre à ses clients les informant qu’elle a engagé une société d’analyse médico-légale et qu’elle est prête à rembourser à tous ses clients les frais occasionnés par sa “défaillance”.
Symantec estime que la cybercriminalité rapporte en moyenne 144 milliards de euros par an. Afin d’avoir une base de comparaison, tous les vols de banque en 2010 aux États-Unis ont totalisé 43 millions de euros et le marché mondial de la cocaïne s’élève à 85 milliards de euros.
Le crime a continuellement évolué, mais l’utilisateur standard est toujours innocent.