Quelque 45,6 millions de numéros de cartes de crédit ou de débit ont été volés par des pirates informatiques dans les bases de données du groupe de distribution TJX, ce qui constitue selon les experts le plus gros vol de données jamais commis.
Outre les numéros de cartes, les données personnelles (nom, adresse, numéros de sécurité sociale...) d'environ 455.000 clients de TJX ont également été volées, a précisé le groupe, qui s'est aperçu des piratages à partir du 18 décembre.
Les données volées par les pirates informatiques, un phénomène de plus en plus fréquent, se revendent pour quelques dollars sur un marché illégal.
Le piratage des serveurs de TJX, basés à Framingham (nord-est), ont eu lieu entre juillet 2005 et décembre 2006, et portent sur des achats réalisés dans les magasins du groupe en 2003 et 2004, a précisé TJX dans un avis mercredi soir au régulateur boursier, la SEC.
TJX précise cependant que plus des deux tiers des cartes dont les numéros ont été volés étaient expirées ou comprenaient des données masquées sous forme d'astérisques au lieu de chiffres. Il a aussi souligné que les codes secrets
(PIN) des cartes n'avaient pas été touchés.
En revanche, TJX a reconnu que son constat était incomplet, car il n'était pas en mesure de déterminer exactement quelles informations avaient été volées, et estime même que "le pirate avait accès à l'outil de décryptage de TJX".
Le groupe TJX possède des enseignes de textiles et d'équipements de la maison aux Etats-Unis, au Canada et à Porto Rico, ainsi qu'en Grande-Bretagne, notamment T.J. Maxx, Marshall et HomeGoods.
Avivah Litan, vice-président du cabinet d'analyse Gartner, a déclaré au journal Boston Globe qu'il s'agissait du "plus grand vol de cartes jamais commis".
Jusque là, le plus important vol de données était survenu en 2005 quand 40 millions de numéros de cartes de crédits avaient été volés dans les serveurs de la société de paiement CardSystems Solutions Inc.
Lorsque TJX avait pour la première fois révélé l'existence de piratage, en janvier, Gartner avait appelé les banques américaines à renforcer la sécurité de leurs cartes de crédit en les dotant systématiquement de puces avec code PIN, à l'instar de la norme Europay MasterCard Visa (EMV).
Selon la presse américaine, la police a arrêté la semaine dernière six personnes en Floride pour avoir utilisé des numéros de cartes de crédits volées dans les bases de données de TJX, afin d'acheter pour 1 million de dollars de marchandises.
De tels vols de données se sont multipliés ces derniers mois. Selon la société de sécurité informatique Symantec, les vols de données ont augmenté sur internet en 2006, notamment les vols de numéros de cartes de crédit et de code de sécurité, qui se revendent sur des serveurs informatiques "underground".
Symantec a recensé au 2e semestre plus de 6 millions d'ordinateurs infectés par un programme de piratage automatique, que les criminels informatiques utilisent, à l'insu de leur propriétaire, pour mener des attaques à grand échelle contre des serveurs informatiques afin de pirater leurs fichiers.
Le nombre d'ordinateurs ainsi utilisé est en hausse de 29% par rapport au 2e semestre 2005, a précisé Symantec, dans un rapport la semaine dernière.
La société de sécurité informatique a aussi retracé les "serveurs underground" où les pirates et les organisations criminelles s'échangent les données volées.
Sur ces plate-formes, un numéro de carte de crédit américaine avec numéro de vérification peut s'acheter pour 1 à 6 dollars, tandis que les données personnelles (numéro de compte bancaire, de carte de crédit, date de naissance et numéro de sécurité sociale) se négocie entre 14 et 18 dollars, selon Symantec.
Au 2e semestre 2006, a précisé Symantec, 51% de ces "serveurs underground"
se trouvaient aux Etats-Unis.
Plus de 45 millions de numéros de cartes volés chez TJX, un record
- nabil