SeeTickets, l’une des plus grandes entreprises de billetterie au monde et propriété de Vivendi a annoncé avoir constaté une violation de données qui a exposé les données bancaires des clients de la billetterie pendant plus de 2 ans et demi.
Bien que l’intrusion ait été portée à leur attention dès avril 2021, ce n’est qu’en janvier 2022 que SeeTickets a pu mettre un terme aux activités du cyberattaquant. Entre temps, les cybercriminels ont pu récolter les noms, adresses et numéros de carte bancaire, y compris les dates d’expiration et les cryptogrammes des clients de SeeTickets. En d’autres termes, l’intégralité des informations des cartes de crédit des victimes. Ci-dessous, le décryptage et les conseils de Chris Vaughan, Vice President, Technical Account Management EMEA chez Tanium :
« Il peut sembler choquant que des activités non autorisées puissent se poursuivre pendant plusieurs mois après avoir été détectées, mais c’est malheureusement une situation que je rencontre régulièrement. Les attaquants opèrent souvent de manière furtive en profitant de la moindre faille dans l’environnement informatique d’une entreprise. Il est donc essentiel d’adopter des mesures de base telles que : avoir une visibilité totale du réseau et des endpoints qui y sont connectés, adopter une authentification à deux facteurs et savoir où se trouvent les données les plus sensibles afin de les protéger de manière adéquate. Toutes ces mesures doivent être mises en œuvre dans le cadre d’une approche Zero Trust, où tous les utilisateurs et toutes les activités doivent être considérés comme non autorisés jusqu’à ce qu’ils aient été authentifiés, puis validés, et ce constamment.
Le temps qu’un intrus passe sur un réseau avant d’être détecté et pris en compte est généralement appelé « temps de présence ». Bien que des rapports sectoriels tels que le rapport M-Trends de Mandiant montrent que le « temps de présence » global diminue, les attaquants restent en moyenne actifs pendant 21 jours sur les réseaux de leurs cibles. Étant donné qu’une seule journée suffit à causer d’importants dommages et à dérober des informations sensibles, il reste encore beaucoup à faire pour traiter les compromissions plus rapidement. Les organisations devraient commencer par s’assurer qu’elles disposent des éléments de base présentés ci-dessus, ce qui réduira la probabilité de réussite d’une attaque et minimisera ses impacts. »