Fuite de données bancaires : Home Depot, c’est pire que Target !

Home Depot n’a pas encore confirmé avoir été victime d’une fuite de données. Mais tout indique que les lots de données bancaires en vente sur le Web underground proviennent de ses magasins. Et surtout que la quasi-totalité d’entre eux ont été victimes du malware Backoff.

Selon le blogueur spécialisé Brian Krebs, la quasi-totalité des magasins Home Depot – au nombre de 2 200 aux Etats-Unis – ont été victimes d’un vol massif de données bancaires. Révélé par la publication de trois fichiers sur le site underground rescator(point)cc – celui-là même où avait déjà été monnayé le butin dérobé à d’autres distributeurs américains comme Target -, le piratage n’a pas encore été officiellement confirmé par Home Depot. L’entreprise dit enquêter « sur des activités inhabituelles susceptibles d’indiquer une possible fuite de données de paiement » (sic). Elle a engagé Symantec et le cabinet de conseil spécialisé Fishnet Security pour épauler ses équipes chargées de la sécurité dans cette investigation.

L’alerte provient d’établissements bancaires. Selon Brian Krebs, au moins quatre banques ont associé les numéros de cartes dérobées à des transactions chez Home Depot.

Brian Krebs base ses conclusions très pessimistes sur les villes, états et codes postaux des magasins où les numéros de cartes ont été dérobés. Ces informations sont données par les hackers parce qu’elles se révèlent très utiles aux escrocs qui vont exploiter ces informations volées : dans le cadre d’une fuite massive, les banques vont commencer par bloquer les transactions provenant de zones géographiques éloignées de l’endroit où vivent les titulaires légitimes des cartes bancaires. Pour un escroc tentant de réaliser des transactions illégitimes, disposer de la donnée de localisation s’avère donc crucial.

2 000 magasins piratés sur plusieurs mois ?

En analysant ces codes postaux présents dans l’extrait de la base mis en ligne gratuitement sur Rescator, et en les rapprochant d’un listing des implantations de la chaîne de magasins aux Etats-Unis, le blogueur trouve un taux de correspondance de… 99,4 %. Suggérant non seulement que les données en goguette sur le Web ont de bonnes chances de provenir de la chaîne de magasins, mais aussi que la plupart de ses implantations aux Etats-Unis ont été victimes du malware Backoff, qui permet aux hackers de dérober les données bancaires en exploitant une faille dans le processus de vérification des transactions par cartes bancaires. Sur le petit échantillon de numéros de cartes accessible (3 000 cartes de débit et de crédit), seuls 127 codes postaux de magasins Home Depot sont absents.

Conclusion : si les analyses de Brian Krebs sont valides, le piratage de Home Depot a donc probablement touché plus de 2 000 magasins aux Etats-Unis et, ce depuis avril ou mai selon les témoignages des banques interrogées par le blogueur. Rappelons que le vol de données chez Target, qui a duré environ 3 semaines seulement, concernait 1 800 magasins. Et avait abouti à la mise en vente de 40 millions de numéros de cartes. Il faut donc s’attendre à des chiffres encore plus vertigineux avec Home Depot, qui semble parti pour remporter le triste record de la plus grosse fuite de données bancaires à ce jour.

A lire aussi :

Le malware Backoff a pris Home Depot dans ses filets

Sécurité de l’information : les entreprises dépensent toujours plus

Piratés, les magasins Target font face à une kyrielle de procès