' Flagrant délit d'irresponsabilité '

' Cent millions de numéros de cartes de crédit piratés, mais c'est la faute de personne, ou plutôt celle des autres '
Yann Serra, grand reporter à 01 Informatique

' Ce n'est pas ma faute, c'est lui. ' Tout le monde le sait, mais personne n'en parle : la règle d'or de tout responsable est de bien savoir rejeter la responsabilité sur un autre en cas de problème. C'est d'ailleurs pour cela que l'on a inventé les sociétés de services, pour garantir contractuellement au DSI qu'elles se laisseront accuser à sa place lorsque le nouveau système plantera. Du coup, les entreprises se reposent sur ce principe et ne cherchent pas à faire évoluer les choses. Hé bien, ce n'est plus cas ! Dans une interview qu'il a récemment accordée au magazine en ligne CSO Online, Robert Carr, le théâtral patron de l'Américain Heartland Payment Systems, jette malgré lui sur la place publique un exemple parfait du délit d'irresponsabilité. Rappel des faits : la presse a révélé il y a quelques semaines le détournement d'environ 100 millions de numéros de cartes de crédit gérés par Heartland. Le pirate, Alberto Gonzales est présenté par l'intéressé comme le plus diabolique des malfaiteurs. En fait, l'attaque menée par Gonzales contre les ordinateurs de Heartland n'a rien de génial. Il s'agit d'une injection SQL, autrement dit le B. A-BA du piratage. C'était facilement contournable, sauf si les développeurs de Heartland se sont délestés de la responsabilité de programmation du site sur un logiciel type ' studio ' qui écrit tout, tout seul. Donc l'entreprise est responsable. Mais Robert Carr dit que non : il aurait payé une fortune des consultants en sécurité qui lui auraient certifié que tout allait bien. La patate chaude passe aux consultants, lesquels, outre montrer qu'on ne peut pas - contractuellement - les tenir pour responsables dans le cas d'une attaque d'une telle ampleur, renvoient la balle aux rédacteurs de la certification PCI-DSS ici accordée. Ce sont les organismes de cartes de paiement. Ces derniers rétorquent que le rôle de la certification consiste juste à être apte à travailler dans la finance, pas du tout à valider la sécurité ! Mais comme ils sont en bout de chaîne, ce sera donc à leur assurance de rembourser l'argent volé. Du coup, Heartland est satisfait. Le paradoxe tout de même incroyable, c'est que tout ce micmac aurait pu être évité si la société Heartland sétait intéressée elle-même à sa sécurité plutôt que de dépenser une fortune pour ne pas avoir à faire cet effort.