Retour sur le PCI Community Meeting

XMCO était présent au Community Meeting (#PCICM) qui à eu lieu à Londres du 16 au 18 octobre.

Lors de cet évènement européen qui a lieu 2 fois par an, les acteurs concernés par les standards PCI se rejoignent et échangent autour des membres du Council (i.e. PCI SSC).

Les marques de cartes sont également présentes pour échanger et répondre aux éventuelles questions des participants.

Voici les points clés à retenir de cette édition :

• Le sujet phare concernait les petits marchands. En effet, de nombreux guides ont été publiés par le PCI SSC pour leur faire comprendre l’importance de la sécurité et comment l’appréhender au travers de leur travail quotidien. Des fiches sur les sujets les plus sensibles comme la gestion des correctifs de sécurité, les mots de passe ou les accès distants sont maintenant disponibles à l’adresse suivante : pcissc.org/merchant
• Deux nouveaux standards ont été annoncés :
  • l’un est dédié aux paiements sans contact par mobile/tablettes et s’intitule « Contacless transactions using COTS devices ».
  • le second, intitulé « Software-Based PIN Entry on COTS Standard », concerne les applications installées sur un mobile/tablettes et qui sont susceptibles de recevoir un PIN.
• La version v4.0 du standard PCI DSS arrivera en 2020. Cette nouvelle mouture du standard devrait mieux prendre en compte les spécificités des entités certifiées (secteur d’activité, taille de l’entreprise, etc.); elle portera également un focus sur les procédures de sécurité quotidiennes. Les nouveaux standards de sécurité et les programmes associés étant à l’honneur, aucune information complémentaire n’a été communiquée à propos de cette nouvelle version.
• Le PA-DSS sera progressivement remplacé par les « Software Security Framework », qui arrivera fin 2018. Ce dernier sera globalement composé de 2 nouveaux standards :
  • Secure Software Standard
  • Secure Software Life Cycle Standard

Au cours de ces 2 jours et demi, nous avons eu le plaisir de suivre les conférences délivrées par les membres du Council, des organismes qui collaborent avec le PCI SSC (ex.: EMVCo, Dutch Payments Association), les représentants de grandes entreprises impliquées dans la mise en place de standards du PCI (ex: Accord Hotels, Shell), des auditeurs externes (ex.: Verizon) ainsi que des orateurs indépendants.

Paradoxalement, les conférences les plus intéressantes étaient celles prodiguées par des orateurs indépendants, qui n’avaient pas un lien direct avec la sécurité des données de paiement ou de l’écosystème mis en place par le PCI.

Nous avons eu le plaisir d’écouter le récit passionnant d’Eric O’Neill (@eoneill), ancien agent du FBI et l’un des acteurs principaux dans l’arrestation du plus grand espion jamais découvert sur le continent américain : Richand Hanssen. Cette histoire a été adaptée au cinéma (film Breach, sorti en 2007). En outre, pour Eric O’Neil, il n’y a pas vraiment de différence entre un hacker et un espion. En effet, avec la modernisation de nos moyens de communication et la numérisation des données, le travail d’un espion d’aujourd’hui est d’utiliser des techniques de « hacking », en passant par le phishing et le social engineering, et ce, afin d’obtenir/exfiltrer des données.

Dans un autre registre, Tom Avery a partagé ses expériences vécues au travers de ses expéditions en milieu hostile et les difficultés qu’il a rencontré. Tom Avery a traversé les « 3 pôles », comme il le dit si bien : le pôle Nord, le pôle Sud et le Groenland. A travers cette présentation, il a mis l’accent sur l’importance du travail d’équipe et de l’amélioration continue.

Dans un registre plus classique, l’entreprise Verizon a présenté quelques chiffres issus de son rapport d’investigations menées suite des cas de compromission (Data Breach Investigations Report). Vous trouverez ci-desous les chiffres les plus marquants :

• 73% des attaques proviennent de l’exterieur ;
• Par opposition, 27% des attaques proviennent d’une ressource interne à l’entreprise. L’administrateur système est statistiquement le profil le plus souvent impliqué dans ce cas de figure ;
• les motivations des attaquants sont financières dans 73% des cas analysés et 13% pour l’espionnage ;
• 68% des brèches ont mis des mois à être découvertes ;
• 49% des malwares ont été installés via une attaque de Spear Phishing ;
• 61% des attaques ont concerné des sociétés de moins de 1000 personnes ;
• 40% des incidents ont impliqué un malware.

Les constats rejoignent également ceux de M. Andrew Henwood, CEO de l’entreprise Foregenix, qui mène également des investigations post-incident. Les cas de compromission qu’ils ont pu observer concernent principalement des sites e-commerce qui reposent sur des composants tiers (i.e. CMS, Framework) obsolètes. L’orateur a notamment fait référence aux frameworks Magento/Woocommerce ou aux « hosted plateform » telles que wix.com ou shopify sur lesquels des plug-ins additionnels mettent souvent à risque la sécurité des sites hébergés.

Au cours de cette présentation, l’orateur a fait un focus sur les sites e-commerce basés sur le moteur Magento. Selon les recherches effectuées par l’entreprise Foregenix :

• 75% (soit environ 129 075 sites) des sites Magento ne sont pas maintenus à jour et présentent des risques très élevés de compromission;
• 2,3% (1591 sites) sont déjà compromis avec un skimmer web pour voler les données de paiements saisies par les clients.