L'attaque informatique chez le distributeur américain Target, dont 110 millions de clients pourraient avoir vu leurs données piratées, est probablement liée à un large réseau de cybercriminels et pourrait avoir affecté d'autres marchands, selon plusieurs sociétés de sécurité informatique.
Les pirates ont utilisé "un nouveau logiciel malveillant" qui "a potentiellement infecté un grand nombre de systèmes informatiques dans le secteur du commerce de détail", a indiqué la société américaine iSIGHT Partners, dans un communiqué jeudi.
Une source gouvernementale a confirmé vendredi que cette société et les autorités américaines "coopèrent pour caractériser un virus nouvellement identifié et associé à des enquêtes sur des violations de données dans des points de vente".
Un autre rapport d'un spécialiste de la sécurité informatique, la société israélienne Seculert, évoque une attaque "en deux temps, ce qui est une caractéristique bien connue des menaces avancées".
Le logiciel a d'abord infecté les caisses de Target pour extraire les numéros de cartes de crédit et des données personnelles sensibles, "puis, après être resté non détecté pendant six jours, le virus a commencé à transmettre les données volées vers un serveur FTP extérieur, en utilisant un autre ordinateur infecté à l'intérieur du réseau de Target", explique Seculert.
Elle précise que les pirates ont utilisé un réseau privé virtuel (VPS) situé en Russie pour télécharger les données volées, et que ces téléchargements ont duré "pendant deux semaines". La société israélienne dit en revanche n'avoir pas trouvé de preuve d'un lien avec d'autres distributeurs comme Neiman Marcus, qui a aussi affirmé avoir subi une attaque à peu près sur la même période.
Jim Walter, de McAfee Labs, écrit sur un blog que sa société a trouvé "des preuves crédibles que le virus utilisé dans les magasins Target est relié à des kits de virus vendus sur des forums clandestins". Il relève des ressemblances dans son fonctionnement avec un bug baptisé "BlackPOS", qui avait été détecté pour la première fois l'an dernier et dont le nouveau virus est probablement dérivé.
"Le premier nom du virus était +Kaptoxa+", qui signifie pomme de terre en argot russe, indique aussi la société IntelCrawler dans un communiqué. Il a selon elle été vendu plus de 40 fois à des cybercriminels d'Europe de l'Est et d'autres régions, ainsi qu'à des opérateurs de sites vendant des données volées sur des cartes de crédit.
Les services secrets américains, qui dirigent l'enquête, ont refusé d'en commenter les derniers développements.
rl/soe/sam