Autre tuile pour Target
Une autre tuile tombe sur la tête de la société de détails Target Corp.
L’entreprise devra verser 18,5 millions de dollars à 47 États, dont la Floride et le district de Columbia, pour une bavure survenue en 2013, en raison de la violation de la loi sur les données ayant touché des comptes de cartes de paiement de clients. De plus, des informations de contact ont été exposées pour plus de 110 millions de consommateurs. Cet accord est le plus important règlement de rupture de données « multistate » à ce jour.
L’entente force Target à se plier à des règlements stricts dans ce domaine. L’entreprise devra élaborer, mettre en œuvre et gérer un programme complet de sécurité de l’information afin de protéger les données personnelles des clients.
Target est propriétaires de 122 magasins en Floride. La plupart des infractions proviennent des maisons de l’entreprise situées en Floride, Californie, Texas, Minnesota et l’Illinois. Le programme malveillant utilisé chez Target avait été repéré dans une vingtaine d’autres commerces victimes de piratage.
Le remplacement des cartes de crédits interceptées en magasin a réduit les possibilités de fraudes immédiates. Par contre, les noms, adresses et numéros de téléphone trouvés dans les bases de données de la chaîne pourraient revenir hanter les victimes, par des vols d’identité et des tentatives d’hameçonnage beaucoup plus fiables.
Le procureur dans cette cause soutient que la protection de la vie privée et la sécurité des renseignements personnels des consommateurs est essentiel.« Le vol d’identité est devenu une immense préoccupation et c’est l’une des raisons pour lesquelles nous avons fait de la cybersécurité une priorité. Ce règlement est une autre façon d’aider à protéger les informations personnelles des consommateurs et de les protéger contre les violations des données et le vol d’identité’ », a insisté le procureur DeWine.
Le stratagème
L’enquête des États, menée par le Connecticut et l’Illinois, a démontré qu’en 2013, les cyber-attaquants ont accédé au serveur de passerelle de Target par des informations confidentielles volées à un fournisseur de l’entreprise.
Ces informations d’identification ont ensuite été utilisées pour exploiter les faiblesses du système de Target qui a permis aux pirates d’accéder à une base de données de service à la clientèle. Les fraudeurs ont ensuite installé des logiciels malveillants sur le système et ont capté des données, dont les noms des consommateurs, les numéros de téléphone, les cartes de paiement, les numéros et les dates d’expiration ainsi que les numéros d’identification personnelle, c’est-à-dire leur NIP.
Target est forcé d’embaucher un cadre responsable de la bonne marche du programme de sécurité et de l’information en plus de compter sur un tiers indépendant et qualifié pour effectuer une évaluation complète de la sécurité de l’entreprise et ce, à tous les niveaux.
L’année 2013 n’aura pas été facile pour Target, car c’est celle pendant laquelle l’entreprise avait décidé de venir s’implanter au Canada où elle avait ouvert 133 magasins. Les Target n’ont fait que passer dans ce pays puisque deux ans plus tard, les 133 magasins fermaient leurs portes en raison d’une présentation décevante sur les étalages parfois vides.