XMCO-ActuSecu-36-Target_BackPOS.pdf

(16618 KB) Pobierz
l’ACTUSÉCU est un magazine numérique rédigé et édité par les consultants du cabinet de conseil XMCO
actu
sécu
36
FEVRIER 2014
BlackPOS et Target
Le coin PCI DSS
Conférences
Brucon et Hack.lu
Retour sur le vol de millions de cartes bancaires
Analyse de la vulnérabilité MS13-053
Elévation de privilèges sous pression !
A la recherche des cartes bancaires...
Actualité du moment
Et toujours…
la revue du web et nos Twitter favoris !
Ce document est la propriété du cabinet XMCO. Toute reproduction est strictement interdite.
Steve Snodgrass
Failles dans les routeurs et analyse de la vulnérabilité PHP-CGI (CVE-2012-
1823)
®
we deliver security expertise
www.xmco.fr
2
Ce document est la propriété du cabinet XMCO. Toute reproduction est strictement interdite.
Vous êtes concerné
par la sécurité informatique
de votre entreprise ?
XMCO est un cabinet de conseil dont le métier est
l’audit en sécurité informatique.
Fondé en 2002 par des experts en sécurité et dirigé par ses
fondateurs, les consultants de chez XMCO n’interviennent que
sous forme de projets forfaitaires avec engagement de résultats.
Les tests d’intrusion, les audits de sécurité, la veille en
vulnérabilité constituent les axes majeurs de développement
de notre cabinet.
Parallèlement, nous intervenons auprès de Directions Générales
dans le cadre de missions dʼaccompagnement de RSSI,
dʼélaboration de schéma directeur ou encore de séminaires de
sensibilisation auprès de plusieurs grands comptes français.
Pour contacter le cabinet XMCO et découvrir nos prestations :
http://www.xmco.fr
®
we deliver security expertise
Nos services
Test d’intrusion
Mise à l’épreuve de vos réseaux, systèmes et applications web par nos
experts en intrusion.
Utilisation des méthodologies OWASP, OSSTMM, CCWAPSS.
Audit de Sécurité
Audit technique et organisationnel de la sécurité de votre Système
d’Information.
Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley.
Certification PCI DSS
Conseil et audit des environnements nécessitant la certification PCI DSS
Level 1 et 2.
Cert-XMCO
®
: Veille en vulnérabilités et
Cyber-surveillance
Suivi personnalisé des vulnérabilités, des menaces et des correctifs affectant
votre Système d’Information et surveillance de votre périmètre exposé sur
Internet.
Cert-XMCO
®
: Réponse à intrusion
Détection et diagnostic d’intrusion, collecte des preuves, étude des logs et
autopsie de malware.
Ce document est la propriété du cabinet XMCO. Toute reproduction est strictement interdite.
3
sommaire
p. 5
p. 11
p. 5
BlackPOS et Target
Retour sur le vol de millions de
cartes bancaires
p. 11
Analyse de la vulnérabili-
té MS13-053
Elévation de privilèges sous
pression !
p. 24
p. 24
Le Coin PCI
A la recherche des cartes
bancaires !
p. 28
p. 28
Conférences
Brucon et Hack.lu
p. 37
p. 37
Actualité du moment
p. 53
Failles dans les routeurs et PHP-
CGI (CVE-2012-1823)
p. 53
La revue du web et Twit-
ter
4
Contact Rédaction :
actu.secu@xmco.fr
- Rédacteur en chef :
Adrien GUINAULT
- Direction artistique :
Romain MAHIEU
- Réalisation :
Agence plusdebleu / XMCO
- Contributeurs :
Antonin AUROY, Stéphane AVI,
Etienne BAUDIN, Clémentine BOURDIN, Arnaud BUCHOUX, Frédéric CHARPENTIER, Charles DAGOUAT, Damien
GERMONVILLE, Yannick HAMON, Marc LEBRUN, Rodolphe NEUVILLE, Julien MEYER, Stéphanie RAMOS, Julien
TERRIAC, Pierre TEXIER, David WEBER.
Conformément aux lois, la reproduction ou la contrefaçon des mo-
dèles, dessins et textes publiés dans la publicité et la rédaction de
l’ActuSécu © 2014 donnera lieu à des poursuites. Tous droits réservés
- Société XMCO. la rédaction décline toute responsabilité pour tous les
documents, quel qu’en soit le support, qui lui serait spontanément
confié. Ces derniers doivent être joints à une enveloppe de réexpédi-
tion prépayée. Réalisation, Janvier 2014.
Ce document est la propriété du cabinet XMCO. Toute reproduction est strictement interdite.
> BlackPOS, Target et le vol de millions de cartes bancaires
Les attaques contre les chaînes de magasins se sont multipliées ces derniers mois. Neiman Marcus, Michaels ou
encore Target ont été ciblées et victime d’un vol massif de données bancaires.
En effet, les pirates ont trouvé un nouveau terrain de jeu, simple à compromettre et qui génèrent des profits
très importants...
Ces affaires mettent à niveau en avant le standard PCI DSS et la responsabilité des banques qui doivent imposer
ce standard à tous leurs marchands...
Retour sur cette affaire et sur le malware à l’origine de ce vol d’envergure...
par Clémentine BOURDIN
BlackPOS et Target
Le 18 décembre 2013, le site web « Krebs On Security
» annonçait la compromission de la chaîne de magasins
Target et le vol de plusieurs millions de numéros de cartes
bancaires [1]. L’attaque s’est déroulée entre le 27 no-
vembre 2013 et le 15 décembre 2013.
Selon ce même site, un distributeur de cartes bancaires,
souhaitant rester anonyme, a déclaré qu’il était encore
incertain que cette attaque ait touché tous les magasins
Target. Cependant, des victimes se sont manifestées à tra-
vers tous les États-Unis.
Le groupe Target Corporation regroupe 1921 magasins,
dont 1797 situés aux États-Unis et 124 au Canada. [2]
Il ne s’agit pas de la première attaque d’une telle am-
pleur :
la compromission
+
En 2007, la société TJX annonçait millions de cartes de
son système entraînant le vol de 45
de
crédit et débit d’utilisateurs.
la
a
+
En 2009,descompagnie Heartland Payment Systemsde
révélé que
voleurs avaient réussi à dérober plus
130 millions de cartes.
la société Global Payments, un prestataire de
+
En 2012,paiement (PSP) américain, reconnaissait avoir
service de
été victime d’un piratage ayant entrainé la fuite d’environ
1,5 million de numéros de cartes bancaires.
Mario Anima
5
Ce document est la propriété du cabinet XMCO. Toute reproduction est strictement interdite.

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin