La société Trustwave, qui a audité la chaîne américaine Target peu avant le piratage majeur dont elle a été victime en décembre dernier, est attaquée en justice par plusieurs banques émettrices des cartes bancaires dérobées.

Au total près d’une centaine de banques et de clients auraient déjà décidé de poursuivre Target. Dans l’un des cas, rapporté par Reuters, deux banques veulent poursuivre à la fois Target et Trustwave, son auditeur PCI-DSS.

Ce dernier se présente comme un spécialiste de l’audit PCI et aurait, selon les banques, audité Target en septembre 2013, soit deux mois avant le piratage. Sans y détecter de vulnérabilité.

L’affaire pose évidemment la question de la responsabilité des auditeurs (obligation de moyens ou de résultat ?). S’il semble peu réaliste d’imposer une obligation de résultat, les sommes en jeu pourraient malgré tout mettre l’auditeur dans une position délicate (on parle d’un milliard de dollars de frais pour l’ensemble des banques concernées, et jusqu’à 18 milliards de dollars pour les banques et les marchands si l’on prend en compte les fraudes qui devraient suivre).

Outre la responsabilité de l’auditeur PCI, les débats porteront probablement aussi sur le rôle joué par les propres équipes de sécurité de Target, par l’un de ses sous-traitants, et même par la solution FireEye installée chez Target. Celle-ci aurait en effet correctement identifié un binaire malveillant inconnu peu avant la découverte de l’attaque, mais les équipes ignoraient habituellement les alertes de ce type car trop nombreuses.