Fuite de données : Home Depot confirme ce qu’on savait déjà

La chaîne Home Depot a mis près d’une semaine pour confirmer ce qui, au fil des jours, est devenu une évidence : des données de cartes bancaires lui ont été volées par un malware ciblant ses lignes de caisses. Et l’addition s’annonce salée.

Home Depot est-il en train de prendre le même chemin que Target, la chaîne de magasins américaine victime d’une faille géante en début d’année, faille qui lui a coûté environ 150 millions de dollars et a poussé son Pdg vers la sortie ? En tout cas, le géant de la maison (2 200 magasins rien qu’aux Etats-Unis) a confirmé ce que tout le monde savait déjà, à savoir que ses systèmes d’information ont été victimes d’une attaque, permettant l’extraction d’un grand nombre de données bancaires. Selon le communiqué de l’entreprise, ce sont les magasins aux États-Unis et au Canada qui ont été ciblés, et ce depuis avril dernier ! La taille et la durée de cette attaque augurent d’une fuite de données record. Rappelons que celle de Target – 1 800 magasins ciblés par une attaque qui a duré trois semaines ‘seulement’ – avait abouti à la compromission de 40 millions de numéros de cartes bancaires. On parle cette fois d’une attaque ayant duré près de 5 mois et touchant probablement autour de 2 000 magasins, comme l’a montré le blogueur spécialisé en sécurité Brian Krebs. On peut donc s’attendre à des chiffres stratosphériques.

Home Depot se garde bien pour l’instant de livrer une évaluation de l’ampleur des dégâts. La chaîne indique toutefois qu’elle n’a à ce jour aucune preuve que les magasins au Mexique et le site de e-commerce aient été affectés par la faille. De même, « il n’y a aucun preuve que les codes PIN des cartes de débit aient été compromis », ajoute Home Depot dans son communiqué. L’entreprise a mis en œuvre un numéro vert pour rassurer ses clients et leur proposer des services gratuits de protection d’identité et de suivi des encours de crédits.

BlackPOS + Backoff : razzia sur les lignes de caisse

Révélée par les alertes des banques, la faille affectant Home Depot est discutée largement sur le Web depuis le 2 septembre. Home Depot s’était depuis refusé à confirmer les soupçons qui se cristallisaient, indiquant simplement enquêter « sur des activités inhabituelles susceptibles d’indiquer une possible fuite de données de paiement ». Selon Brian Krebs, qui cite une source proche de l’enquête, la chaîne de bricolage a été victime d’une variante de BlackPOS, le malware qui avait déjà inscrit Target à son tableau de chasse. Ce logiciel malveillant cible les terminaux point de vente sous Windows pour extraire les données bancaires qu’ils manipulent en mémoire au moment du processus d’autorisation d’une transaction.

Les failles du système des cartes bancaires aux Etats-Unis sont largement exploitées par les cybercriminels. Fin août, le Department of Homeland Security (DHS), le ministère de l’Intérieur américain, avertissait de la présence d’un autre malware, nommé Backoff, ciblant lui aussi les terminaux points de vente. Selon Kaspersky, plus de 1 000 entreprises ont été victimes de Backoff aux Etats-Unis et au Canada.

Dans son communiqué, Home Depot confirme sa volonté de généraliser avant la fin de l’année les terminaux point de vente acceptant les cartes à puce dans tous ses magasins aux Etats-Unis. Les distributeurs ont en principe jusqu’à octobre 2015 pour migrer vers le standard EMV (Europay Mastercard Visa, le standard de la carte à puce). Cette migration est estimée à 8 milliards de dollars et pourrait faire le bonheur des industriels français de la carte à puce (Gemalto, Oberthur et Morpho qui, tous trois, font partie du Top 5 mondial).

Lire aussi : Télégrammes : Trois usines Apple aux Etats-Unis, 400 000 clients d’Unicredit détroussés, Apple coupable de viol de brevet, L’USB-C accélère les transferts