« On n’y pouvait rien, ils étaient vraiment trop subtils et trop forts, c’était imparable ». Les patrons de Target et Neiman Marcus, dont le hack des serveurs a provoqué l’une des plus formidables fuites de données de la décennie, invoquent leur totale impuissance face à des attaques aussi sophistiquées nous apprennent nos confrères de Network World.
Il est de tradition, dans le métier de CxO, d’invoquer l’équivalent de la clause de conscience lorsque les évènement les dépassent. Elle prend alors le nom soit d’attaque sophistiquée, soit d’APT (advanced persistant threat). « De nouvelles règlementations n’auraient rien pu faire devant des adversaires aussi déterminés et compétents » affirment en substance les avocats des deux grandes chaînes de magasins.
Dans le camp opposé, celui des victimes et des accusateurs qui soupçonnent un certain laxisme dans les processus de traitement des données clients, on fait remarquer qu’une telle mésaventure ne serait jamais survenue en Europe. En effet, l’identité bancaire des clients a pu être subtilisée grâce à une attaque « man in the middle » opérée entre le lecteur de cartes de crédit et le système informatique. Sur ce trajet, les données ne sont pas chiffrées. « Si les grandes chaînes de commerce acceptaient d’adopter les cartes à puce, dont les échanges sont chiffrés, de telles attaques n’auraient aucune chance de succès ». Rappelons qu’en France, les cartes à puce sont intégrées aux systèmes de payement électronique depuis 1980.