Certifier PCI-DSS et se faire poursuivre par les assureurs

TrustWave, certificateur PCI-DSS d’une entreprise s’étant fait pirater est poursuivie en justice par les assureurs de l’entreprise piratée, demandant un dédommagement de $30 millions.

Dans le monde du traitement des paiements par carte bancaire une certification a été mise en place vers 2004 : PCI-DSS (Payment Card Industry Data Security Standard).
PCI-DSS a été crée par les principaux émetteurs de cartes afin de s’assurer que les entreprises manipulant des numéros de CB le fasse en respectant les bonnes pratiques de sécurité. C’est également un énorme business qui s’auto-alimente mais pas de polémique* 😉. Reste que le principe est sain : s’assurer d’un tronc commun de sécurité, basé sur des règles de bon sens (plus ou moins…).
PCI-DSS a évolué depuis sa création, mais le principe reste le même : un référentiel à suivre et un audit mené annuellement par une entreprise dite QSA (Quality Security Assessor) qui s’engage financièrement (ainsi que l’auditeur, engagé à titre personnel) sans plafond en cas de réclamation.
Audits annuels, obligation pour les QSA de faire des formations et d’être eux-mêmes certifiés, joli business… oups pardon, pas de polémique 😉.

La certification PCI-DSS n’est pas obligatoire, mais ne pas l’avoir, c’est prendre le risque de se voir refuser les transactions par les émetteurs de cartes ou les banques, mais également de voir le tarif de sa prime d’assurance exploser, voire de ne pas être assuré du tout.

Nous avons donc un écosystème avec les émetteurs de cartes et les banques, les certificateurs QSA engagés personnellement, les assureurs et les entreprises manipulant des numéros de cartes bancaires.

Malheureusement pour tout ce petit monde, les compromissions et les vols de millions de numéros de cartes bancaires sont légion... avec le dernier très gros en date : la chaine de distribution américaine Target (un équivalent de Carrefour) s’est faite pirater et près de 110 millions de numéros de cartes bancaires ont été volés.
Target avait été certifié par TrustWave et Target avait annoncé poursuivre son auditeur pour faute, en réclamant la modique somme de $1 milliard !!!

Le record du nombre de numéros de cartes volés reste tenu par quatre Russes et un Ukrainien avec le piratage de Heartland Payment Systems en 2008. Bien que cette affaire soit vieille, cette année, ce sont les deux assureurs de Heartland (Lexington Insurance Co. et Beazley Insurance Co.) qui attaquent TrusWave en justice et demandent un dédommagement de $30 millions.
https://courtlink.lexisnexis.com/cookcounty/FindDock.aspx?DocketKey=CABI0L0AAGHCF0LD

Les assureurs accusent TrustWave d’être responsable de la compromission et TrustWave se bat en justifiant qu’ils n’assuraient pas la gestion de la sécurité de Heartland. Comme TrustWave les a certifié PCI-DSS en 2007 et 2008, ils sont donc responsables, d’autant que Visa aurait mené sa propre enquête montrant plusieurs non-respects du référentiel par TrustWave lors de l’audit.

Plus de détails dans cet article : https://www.darkreading.com/application-security/insurers-sue-trustwave-for-$30m-over-08-heartland-data-breach/d/d-id/1332248?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple

Si l’affaire aboutit et que TrustWave est bien condamné à payer ce dédommagement, cela fera jurisprudence et affolera tous les QSA de la planète face aux risques financier. Mais je pense qu’au final, si TrustWave est condamné suite à des irrégularités évidentes durant l’audit, cela ne fera que limiter encore plus les libertés prises par rapport au référentiel PCI-DSS et les aberrations* de sécurité auront de beaux jours devant elles 😉.

  • PCI est également un référentiel tellement strict et aux implications de responsabilités telles que certains auditeurs préfèrent le respecter à la lettre, quitte à aboutir à des aberrations comme préférer une authentification par mot de passe à une authentification par clé ssh. En effet, la norme impose un changement de mot de passe tous les x mois. Or dans le cas d’une clé ssh, il n’y a pas de changement de mot de passe, donc la règle n’est pas respectée.

=======
Auditeur : << On t’a dit de bien poncer ton bouclier en bois pour que les coups d’épée glissent dessus ! >>
Combattant : << mais moi j’ai un bouclier en métal, ça résiste beaucoup mieux et n’est pas transpercé par les épées >>
Auditeur : << Non conforme ! >>

😊