Home Depot : plus de 56 millions de cartes bancaires piratées

Si Home Depot a fini, le 8 septembre, par confirmer avoir été victime d’une attaque informatique sur ses réseaux de magasins américains et canadiens, le distributeur s’était gardé de préciser l’ampleur des dégâts du côté des clients. L’entreprise vient de le faire. Dans un communiqué, daté du 18 septembre, la chaîne de magasins reconnaît finalement qu’au moins 56 millions de données de cartes bancaires ont potentiellement été piratées.

Plusieurs mois d’enquête

Rappelons que le réseau de la chaine d’articles de bricolage a probablement été infiltré par une variante de BlackPOS, un malware ciblant les terminaux de paiement sous Windows. BlackPOS avait déjà réussi à pénétrer les 1800 magasins de Target, toujours aux Etats-Unis, qui avait permis aux pirates de récupérer les données de 40 millions de cartes de paiement en seulement trois semaines fin 2013. Dans le cas de Home Depot, l’agent malveillant a opéré entre avril et septembre. En comparaison, et proportionnellement à la durée de l’attaque des magasins de bricolage, les 56 millions de cartes compromises sonnent comme un moindre mal. Néanmoins, l’enquête se poursuit et il faudra encore plusieurs mois, probablement, pour déterminer les conséquences exactes de cette intrusion malveillante.

En attendant, Home Depot tente de rassurer ses clients. « Il n’y a aucune preuve que les débits par code PIN aient été compromis », indique l’entreprise. Soulignons que, contrairement à l’Europe, le standard EMV (Europay Mastercard Visa, le standard de la carte à puce) est en cours de déploiement aux Etats-Unis (il doit être finalisé en octobre 2015). En revanche, les données de paiement des cartes non dotées de la puce de sécurité (sans code PIN, donc) et qui ont servi à régler des achats chez Home Depot ont probablement été aspirées par les pirates. Le distributeur souligne également que ses magasins mexicains ainsi que les achats en ligne ne seraient pas affectés. Dans tous les cas, « les clients be seront pas tenus pour responsables pour les frais frauduleux ». Est-ce à dire que Home Depot remboursera les débits injustifiés ?

Le passage au protocole EMV en cours

Pour l’heure, Home Depot estime à 62 millions de dollars environ le montant des frais liés à cette attaques (enquête, services de veille aux consommateurs, renforcement du call center, paiement des services professionnels et d’avocats…). Mais à ce jour heure, « la société n’est pas en mesure d’estimer les coûts, ou une série de coûts, liés à l’attaque ». Rappelons que dans le cas de Target, les conséquences du piratage de son réseau pourraient s’élever à 18 milliards de dollars.

Pour garder la confiance de ses clients, Home Depot déclare avoir éradiqué le malware de son réseau et barré l’accès aux pirates. En parallèle, l’entreprise annonce avoir finalisé, le 13 septembre dernier, le déploiement d’un système de chiffrement pour les cartes non EMV (fourni par Voltage Security) sur l’ensemble de ses bornes de paiement américaines. Les bornes canadiennes en seront équipées début 2015. Celles-ci sont déjà compatibles avec la norme EMV. Le réseau américain le sera avant la fin de l’année, assure Home Depot. Ce qui revient à équiper les bornes de paiements de quelques 85 000 claviers numériques de saisie et de mettre à jour les applications de gestion. Un gros chantier indispensable pour renforcer la sécurité des paiements par carte bancaire.

Lire également
Fuite de données bancaires : Home Depot, c’est pire que Target !
Le malware Backoff a pris Home Depot dans ses filets
Sécurité de l’information : les entreprises dépensent toujours plus