Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une banque sud-africaine est forcée de remplacer 12 millions de cartes bancaires
Après que ses employés aient volé la clé principale et réussi à dérober près de 3,2 millions de dollars

Le , par Jonathan

76PARTAGES

3  0 
La Postbank est la division bancaire du bureau de poste sud-africain. C’est dans son ancien centre de données situé dans la ville de Prétoria que se serait produit l’irréparable qui force désormais la banque à remplacer 12 millions de ses cartes bancaires. D’après le Sunday Times, le média local qui a rendu l’histoire publique, il semble que tout soit parti du fait qu’en décembre 2018, certains employés de ce centre de données aient imprimé la clé principale de la banque sur un morceau de papier.

Ces derniers s’en seraient ensuite servis à de mauvaises fins, faisant perdre à la banque plus de 3,2 millions de dollars à la suite de transactions frauduleuses. En effet, un rapport interne indique qu'entre mars et décembre 2019, les responsables ont utilisé la clé principale pour accéder aux comptes et effectuer plus de 25 000 transactions frauduleuses, volant plus de 3,2 millions de dollars des soldes des clients.


Pour ceux qui ne le savent pas, la clé principale est un code à 36 chiffres (clé de chiffrement) qui permet à son titulaire de déchiffrer les opérations de la banque, et même d'accéder et de modifier les systèmes bancaires. Il est également utilisé pour générer des clés pour les cartes client. Il s’agit donc là d’une information très importante qui peut avoir de très graves conséquences si elle tombe entre de mauvaises mains et c’est justement ce qui s’est passé.

En règle générale, selon les meilleures pratiques, cette clé est gérée sur des serveurs dédiés (avec un système d'exploitation dédié) et est hautement protégée contre l'accès physique. Autrement dit, une seule personne n'a pas accès à l'intégralité de la clé puisque celle-ci est répartie entre différents gestionnaires ou des personnes importantes fiables. La totalité de la clé ne peut donc être reconstruite que si toutes les personnes impliquées sont corrompues. D’un autre côté, les personnes et la clé sont changées périodiquement, précisément pour éviter ce type de fraude.

Ceci fait de cette affaire, un incident unique dans son genre étant donné que les clés de banque sont le secret le plus sensible d'une banque et sont gardées en conséquence. Après avoir découvert cette violation, la Postbank se voit donc obligée de remplacer toutes les cartes client générées avec la clé principale compromise. Cela inclut le remplacement des cartes de paiement normales, mais aussi des cartes pour recevoir des prestations sociales gouvernementales. D’après la banque, cette opération devrait lui coûter environ 58 millions de dollars.

Malgré tout, certains internautes se posent toujours la question de savoir s’il ne s’agit pas d’un complot. En fait, ils ne comprennent pas comment cela a pu se produire surtout quand on connaît tous les protocoles de sécurité qui sont mis en place pour garantir la sécurité de cette clé.

Source : Sunday Times

Et vous ?

Qu’en pensez-vous ?
Pensez-vous que tout soit dit dans cette affaire ?

Voir aussi :

Près de 80 % des firmes ont subi une fuite de données liée à leurs infrastructures cloud dans les 18 derniers mois, les erreurs de configuration sont en tête des menaces à la sécurité révèle l'IDC
Les violations de données ont coûté aux organisations américaines 1,8 billion $ au cours des 2 dernières années, avec l'accès non autorisé comme l'attaque la plus courante en 2019, selon un rapport
En 2019, presque 15,2 milliards d'enregistrements de données ont été exposés et plus de 7 000 infractions ont été signalées, d'après un rapport

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 16/06/2020 à 11:45
Citation Envoyé par transgohan Voir le message
On est ici justement sur un changement de clé.
Donc cela veut dire que périodiquement on renouvelle massivement les cartes bleues pour changement de clé ?
Ce cycle correspond-t-il à la date de validité qu'on voit apparaître sur une carte bleue ?
Non. On ne change pas tous les cartes bleues au même moment.

Le changement des cartes bleues est aussi pour changer le hardware, et corriger des problèmes/ajouter des fonctions.
Les clés peuvent être mises à jour à distance sur ta carte bancaire, où tu as tout un système de clés.

Là le problème est que la clés maître volée, toutes les clés peuvent être assumées déchiffrées/volées.
Si tu changes juste de clé maître, il te suffit juste de rechiffrer les clés et de supprimer les anciens chiffrés.
2  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 16/06/2020 à 9:45
Je m'interroge sur : "D’un autre côté, les personnes et la clé sont changées périodiquement, précisément pour éviter ce type de fraude. "

On est ici justement sur un changement de clé.
Donc cela veut dire que périodiquement on renouvelle massivement les cartes bleues pour changement de clé ?
Ce cycle correspond-t-il à la date de validité qu'on voit apparaître sur une carte bleue ?
1  0 
Avatar de walfrat
Membre éclairé https://www.developpez.com
Le 16/06/2020 à 16:37
Malgré tout, certains internautes se posent toujours la question de savoir s’il ne s’agit pas d’un complot. En fait, ils ne comprennent pas comment cela a pu se produire surtout quand on connaît tous les protocoles de sécurité qui sont mis en place pour garantir la sécurité de cette clé.
Qu'est ce qui garanti que cette banque en particulier à implémenter les protocoles de sécurités de façon strictes ? Qu'elle respecte les "selon les meilleurs pratiques" ?
0  0 
Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 16/06/2020 à 17:38
Citation Envoyé par walfrat Voir le message
Qu'est ce qui garanti que cette banque en particulier à implémenter les protocoles de sécurités de façon strictes ? Qu'elle respecte les "selon les meilleurs pratiques" ?
Cela dépend de ce dont on parle exactement, mais pour les cartes bancaires, tu as des certifications à passer.
0  0 
Avatar de tanaka59
Membre émérite https://www.developpez.com
Le 16/06/2020 à 21:07
Bonsoir,

Une banque sud-africaine est forcée de remplacer 12 millions de cartes bancaires après une violation

Qu’en pensez-vous ?
Cela parait "dingue" . Non respect des normes PCI DSS avec un saupoudrage de corruption ?

Cela me rappelle une anecdote qu'un ancien collègue m'a raconté.

Début des années 1980 , pour un caisse régionale d'une grosse banque française qui existe toujours . C'était le début de la carrière de mon ancien collègue. La banque en question avait un "serveur" ou il était possible d'accès à des numéros de cartes en clair , avec le code à 4 chiffres et le numéro de compte ... Le tout sur des systèmes de type BULL et AS400

Pas de piratage a l'époque ... une sécurité passoire par contre.

Pensez-vous que tout soit dit dans cette affaire ?
Concernant une banque africaine, on peut craindre de la corruption et du piratage venant de Chine en particulier ... La Chine essaye d'avoir la main mise sur le système économique africain (banque, service financier, télécom ... )
0  0 
Avatar de JackIsJack
Membre averti https://www.developpez.com
Le 17/06/2020 à 7:54
Le changement des cartes semble moins important que celui de tous les responsables...
0  0 
Avatar de walfrat
Membre éclairé https://www.developpez.com
Le 17/06/2020 à 9:29
Citation Envoyé par Neckara Voir le message
Cela dépend de ce dont on parle exactement, mais pour les cartes bancaires, tu as des certifications à passer.
Je pensais au problème évoqué par l'article, donc la protection de la clé privée maître.
0  0 
Avatar de ciola
Membre à l'essai https://www.developpez.com
Le 19/06/2020 à 17:40
Serait-il possible d'arrêter d'utiliser "ses" à la place de "des".
Les généralisations abusives, en plus d'être fausses factuellement, génèrent inévitablement de la discrimination, et dans certains contextes du racisme.
Cela ne permet en rien une réflexion saine et digne de ce nom.
Bref, cet article aurait dû s'intituler : "Une banque sud-africaine est forcée de remplacer 12 millions de cartes bancaires après que des employés eurent volé la clé principale et réussi à dérober près de 3,2 millions de dollars"
0  1