Home Depot reconnaît finalement un vaste piratage
Après une semaine de révélations successives, la chaîne de magasins américaine reconnaît avoir été victime d’un vaste vol de données de cartes bancaires.
Une semaine après les premières révélations, Home Depot confirme avoir été victime d’un vaste vol de données de cartes bancaires. Dans un communiqué, la chaîne de magasins reconnaît que ses terminaux de paiement ont été compromis, « ce qui pourrait éventuellement affecter les clients utilisant des cartes de paiement dans les magasins aux Etats-Unis et au Canada. » Et de revendiquer un total de 2 266 magasins – en incluant ceux implantés au Mexique et qui ne seraient pas concernés.
Home Depot ne fournit pas de précision quant à l’ampleur de l’incident. Elle assure « continuer à en déterminer le périmètre complet, l’ampleur et l’impact ». Un élément a toutefois de quoi inquiéter : la compromission des systèmes de paiement aurait commencé en avril dernier. Et la chaîne de magasins ne s’en est aperçue que le 2 septembre, démarrant l’enquête « immédiatement après avoir reçu des rapports de ses banques et des forces de l’ordre » faisant état d’un piratage. Les cybercriminels en cause pourraient donc avoir œuvré sans être détectés par les équipes de sécurité informatique de Home Depot durant cinq mois…
Cet incident pourrait ainsi s’avérer d’une ampleur record, sans commune mesure avec celui dont Target a été victime fin 2013 – en utilisant le même logiciel malveillant. Pour mémoire, Target revendiquait 1 925 magasins aux Etats-Unis et au Canada fin 2013. Mais l’intrusion dont cette autre chaîne a été victime n’avait duré que moins de trois semaines. Pour finalement affecter plus de 40 millions de cartes bancaires…
Selon Home Depot, les codes PIN des porteurs de cartes concernés n’auraient pas été dérobés. Mais selon Brian Krebs, plusieurs institutions financières feraient état de retraits frauduleux auprès de distributeurs automatiques. Seraient en cause la faiblesse des contrôles bancaires pour le changement du code PIN et la qualité des informations collectées par les pirates, suffisante pour répondre sans trop de difficulté aux questions posées par les banques américaines lors d’une demande de changement de code PIN.
Dans son communiqué, Home Depot indique « prendre au sérieux la sécurité et la confidentialité » des données de ses clients et « constamment améliorer ses systèmes et processus. » Et si ces efforts se sont manifestement montrés insuffisants jusqu’ici, la chaîne assure miser sur le déploiement prochains aux Etats-Unis des cartes bancaires à puces, dites EMV pour limiter les risques l'avenir. Home Depot devrait en supporter l’usage dans tous ses points de vente aux Etats-Unis « d’ici la fin de l’année, bien en avance sur l’échéance d’octobre 2015 fixée par l’industrie des paiements. »
D’ici là, il reste à traiter la question des clients victime du vol de données tout juste détecté. La chaîne encourage les victimes à contacter leurs banques si elles constatent des transactions suspectes. Home Depot note que Visa, MasterCard et American Express, notamment, dégagent la responsabilité du porteur de carte pour les transactions frauduleuses en cas de notification rapide de la compromission de la carte. Home Depot offre également aux clients concernés des services de protection de leur identité financière, incluant la surveillance des transactions, pour une période de 12 mois, à compter de ce 8 septembre.