Du simple au triple pour Wendy’s. En février 2016, la chaîne de fast-foods d’origine américaine avait déclaré enquêter sur une éventuelle faille de sécurité. Le premier bilan, annoncé le 11 mai, faisait état d’environ 300 points de vente touchés, avec des doutes sur une cinquantaine d’autres. Aux dernières nouvelles, ça se complique : la « deuxième offensive » évoquée dans un communiqué du 9 juin a bien eu lieu, portant la surface d’attaque à plus de 1 000 magasins, tous situés aux États-Unis.
Dans les deux cas, un malware installé à même les systèmes de paiement (PoS) a servi à récupérer des numéros de cartes bancaires, assortis des dates d’expiration et des informations destinées à authentifier le porteur. Assurant qu’aucun cryptogramme – code à trois chiffres qu’on utilise notamment pour faire des transactions en ligne – n’a fuité, Wendy’s précise aussi avoir complètement désactivé le malware.
L’attaque aurait commencé fin 2015. Les pirates seraient parvenus à récupérer, auprès d’un fournisseur de services pour le compte des enseignes franchisées, les codes d’accès distant aux terminaux de paiement. Wendy’s avait été averti par l’un de ses partenaires financiers, qui s’était inquiété d’une activité inhabituelle dans certains restaurants, précise ITespresso.
Cet épisode illustre la fragilité des cartes bancaire à bande magnétique utilisées outre-Atlantique. Il donne d’autant plus de crédit à des solutions comme Apple Pay et Android Pay, qui dématérialisent la CB et s’appuient sur le principe de « tokenisation » pour ne jamais communiquer le numéro de carte aux commerçants en points de vente physiques.
Difficile de ne pas établir de parallèle avec la cyberattaque subie fin 2013 par Target.
Depuis lors, l’enseigne de distribution a dépensé plusieurs centaines de millions de dollars, entre audits de sécurité, régularisations auprès de sous-traitants, frais de justice, services de protection d’identité et suivi des encours de crédit. Sans compter l’impact de ce piratage sur l’opinion publique… et les effets sur la fréquentation des magasins.
A lire aussi :
Le DSI de Target veut réduire le recours à l’externalisation IT
Fuite de données bancaires : Home Depot, c’est pire que Target !
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.