ven, 09/09/2011 - 13:53
Le 28 octobre 2010, le PCI SSC (PCI Security Standards Council) a publié les versions 2.0 des standards PCI DSS et PA-DSS. Ces nouveaux standards sont applicables depuis le 1 janvier 2011 et seront obligatoires dés janvier 2012. Les changements apportés par la version majeure du PCI DSS sont, somme toute, assez mineurs: précisions sur les destinataires de la norme, adaptations aux nouvelles tendances technologiques, clarifications sur certaines recommandations, etc. Lancée en 2006, la première version de ce standard a donc fait son chemin. On ne compte plus les sociétés de services proposant leur assistance et leur expertise sur ce sujet. Et cette norme est aujourd'hui au cœur des problématiques de mise en conformité de nombreuses entreprises. Si cette problématique est souvent mise en avant pour cause d'obligations légales et contractuelles, une question, pourtant évidente, est souvent occultée: « Que va m'apporter réellement cette norme en termes de sécurité ? » Par Matthieu Estrade, Responsable Innovations, Bee-Ware.
Effets de bord de la conformité
Les exigences mises en avant par la norme PCI DSS s'attaquent de front à tous les grands chantiers de la sécurité en entreprise: sécurisation du réseau lui même, gestion des données sensibles, contrôles d’accès renforcés, surveillance, politique de sécurité claire et affichée. Les membres du PCI SSC sont des experts dans leurs domaines, et leurs préconisations peuvent être considérées comme l'état de l'art de la sécurité. Mais pour comprendre à quel point cette norme pourrait mettre des bâtons dans les roues de nos ennemis, les pirates, il faut prendre conscience de ses objectifs, clairement affichés par le PCI SSC: combattre le vol et la fraude massive de numéros de carte bleue. Elle a été conçue pour empêcher des événements comme le vol de plus de 40 millions de fiches client chez CardSystems en 2005, ou le détournement de plus de 45 millions de numéros de comptes chez TJX Companies Inc en 2007.
Interrogeons-nous d'abord sur les effets de bords de la mise en conformité sur l'ensemble du SI d'une entreprise. Car rappelons-le, l’objectif de ce standard est de sécuriser les données cartes contenues dans le système d’information et non l’intégralité de celui-ci. La norme étant exhaustive, lourde et coûteuse à mettre en place (3,5 millions de dollars en moyenne d'après l'Institut Ponemon), le PCI SSC a mis l'accent sur les moyens de limiter son périmètre d'application en vue d'abaisser les coûts de mise en conformité: c'est la réduction de périmètre. Ainsi la norme PCI DSS précise que sont inclus dans le périmètre tous les systèmes connectés au même segment réseau que ceux qui traitent les données porteurs (5 à 10% du SI en moyenne). Elle préconise donc d'isoler les flux d'informations véhiculant ces données dans des segments réseaux distinct. Admettons maintenant qu'une entreprise investisse dans un firewall applicatif (WAF) en vue de se mettre en conformité PCI. Elle devra en acquérir un deuxième si elle veut appliquer le filtrage sur ses sites hors périmètre PCI. La généralisation de ce raisonnement permet de comprendre que si la réduction de périmètre réduit les coûts de mise en conformité, elle a tendance à augmenter le coût global de la sécurité. Soumis à des contraintes budgétaires, les entreprises auront tendance à privilégier leurs obligations contractuelles. PCI peut donc, paradoxalement, abaisser le niveau de sécurité général du SI.
Agenda hacker vs agenda sécurité
Penchons-nous sur le cas des vols mineurs de donnés porteurs. PCI DSS ne repond tout simplement pas à cette problématique. Un poste isolé en centre d'appel, sans possibilité d'extraire les données des porteurs de cartes d'une application, ne sera pas concerné par la norme. Pourtant un « keylogger » installé massivement en centre d'appel sera en mesure, en quelques mois, de subtiliser de nombreuses données porteurs.
Interrogeons-nous ensuite sur le niveau de sécurité amené par PCI DSS sur les 5 à 10% du SI inclus dans le périmètre PCI. Deux événements récents nous amènent à penser que la norme PCI DSS n'est pas en mesure de garantir la sécurité des données porteurs. En 2009, Heartland Payment Systems, organisme traitant plus de 100 millions de transaction par jours, est victime d'une attaque. Pourtant, cet acteur majeur du traitement des paiements par carte de crédit est « PCI DSS compliant ». Avivah Litan, analyste chez Gartner affirme à cette occasion : « Des milliards sont dépensés en conformité PCI, mais cela ne marche pas vraiment ».
Un autre événement récent vient confirmer cette analyse. Il y à quelques jours à peine, le Playstation Network de Sony a fait l'objet d'une intrusion importante, conduisant au vol des informations utilisateurs. Certaines questions restent en suspens. Les données bancaires ont-elles réellement été dérobées ? Sony était-il conforme PCI DSS ? Dans tous les cas, nous pouvons affirmer que, cinq ans après la mise en place du standard, une fuite majeure chez un marchand de premier niveau a pu avoir lieu. Avec un tel niveau de préconisations, comment un tel événement a-til pu se produire? Rita Glavin, assistante du ministre de la justice américain pour la division criminelle explique: «Je pense que le standard est une très bonne base de travail, mais il est nécessaire de constamment surveiller, tester et valider car les techniques des pirates sont sophistiquées». Et là est tout le problème. Un standard générique, basé sur des cycles de vie de 3 ans, est-il en mesure de lutter contre des pirates réagissant rapidement, de façon opportuniste aux évolutions technologiques?
Comment se protéger contre une vulnérabilité Zéro-day découverte dans une brique fondamentale de la norme PCI DSS comme SSL par exemple ?
Enfin nous signalerons un autre signe, laissant à penser que l'agenda PCI n'est pas en accord avec l'agenda des marchands ou avec celui des pirates. Alors que nous voyons exploser les applications mobiles et que le e-commerce tend à s'engouffrer dans ce nouveau modèle, le PCI SSC a affirmé qu'il ne validerait plus les applications mobiles jusqu'à une date non définie, afin de déterminer les meilleurs critères de sécurisation pour les mobiles. Comment vont réagir les acteurs du marché ? Vont-ils attendre patiemment le bon vouloir du PCI SSC pour se positionner sur ce marché ? Ces problèmes d'agenda ne risquent-ils pas d'être la cause de vol de nombreuses données porteurs ?
Tenants et aboutissants de la norme PCI
Une étude menée par l'institut Ponemon, commandée par un éditeur de produits de sécurité, nous fait prendre conscience du fossé entre les responsables sécurité en entreprise et les experts du PCI SSC. Ainsi, 50% des professionnels de la sécurité considèrent la norme PCI DSS comme un fardeau. Et 59% d'entre eux considèrent que ce standard n'aide pas à améliorer la sécurité. Considérant ces chiffres, comment se fait-il que le standard PCI DSS soit autant mis en avant, et comment se fait-il qu'il ait pris une place aussi centrale dans le champ de la sécurité IT ?
Pour des nombreux experts, de meilleures solutions existent, comme le chiffrement des informations porteuses sur toute la chaîne de paiement (en partant de la carte elle même). Ou encore l'adoption par les américains de la carte à puce, technologie encore inconnue outre Atlantique. Mais ces solutions sont lourdes à mettre en place, et ces modifications impacteraient surtout les banques et les sociétés émettrices de cartes. Pour celles-ci, il est plus facile de définir une norme contractuelle, et de déporter, ainsi, sur les utilisateurs (en l’occurrence les marchands) le soin de garantir la sécurité de leur technologie.
Il faudra enfin comprendre que si le standard PCI DSS est critiqué, il s'agit surtout d'une discussion théorique, entre experts. En imposant ce standard de façon contractuelle, les banques ont mis la loi de leur coté. Quel que soit leur avis sur la question, les marchands se doivent de respecter cette norme pour accepter des paiements. Elle leur permet aussi de rassurer leurs clients. En choisissant un modèle basé sur la certification, les réseaux de cartes ont tentés de répondre à une autre problématique, celle de la perte de confiance des utilisateurs dans la vente en ligne. Les fuites massives de données porteurs, décrites dans cet article, ont refroidis de nombreux clients du e-commerce, et ont ralenti l'acceptation de celui-ci. Soulignons enfin que les efforts de standardisation PCI DSS peuvent conduire les marchands à se mettre en conformité avec d'autres obligations légales ou d'autres standards. Les exigences principales du PCI DSS permettent ainsi aux marchands français de respecter leurs obligations envers la CNIL. Et de nombreuses exigences de PCI DSS sont aussi abordées dans la norme ISO 27001.
Alors que la pression monte sur les différents marchands et acteurs de l'e-business pour que la conformité PCI DSS soit enfin effective (actuellement 67% des entreprises concernées échouent aux tests de conformité), le débat autour de ce standard prend de plus en plus d'ampleur. Nous avons pu voir dans cet article qu'il n’était pas exempt de critiques, et qu'une mise en conformité n'était pas une garantie de sécurité. Nous avons aussi pu prendre conscience que, pour les entreprises et pour les marchands, l'adoption du PCI DSS n’était pas une option mais une obligation légale.
Quelles conclusions en tirer ?
Le processus de mise en conformité peut être une chance de reconsidérer la sécurité d'un SI dans sa globalité. Mais ce n'est pas une solution « clef en main ». Pour être efficace, celui-ci doit plutôt être considéré comme un cadre de réflexion, un bon prétexte pour remettre à plat l'approche sécuritaire du SI. Car se concentrer uniquement sur l'obtention de la certification pourrait conduire à un abaissement général du niveau de sécurité.
Matthieu Estrade, Responsable Innovations, Bee-Ware
A propos de l'auteur