Questions sur la sécurité du SI de Home Depot

Bloomberg soulève les premières questions sur la politique de sécurité informatique de Home Depot. Ce dernier a reconnu récemment avoir été victime d’un vaste vol de données de cartes bancaires, sur une période considérable, s’étendant sur 5 mois. Or, selon d’anciens membres des équipes de sécurité du système d’information de la chaîne de magasins, interrogés par nos confrères, les systèmes de traitement des paiements par carte « n’étaient pas configurés pour chiffrer les données » des cartes de paiement. S’il n’est pas certain que cette spécificité ait « contribué » à l’incident dont l’enseigne a été victime, il est possible qu’elle « ait donné aux attaquants une fenêtre plus large à exploiter ». En outre, si les outils de chiffrement des données de paiement sont désormais disponibles, leur déploiement n’aurait pas encore été achevé. Toutefois, cela n’aurait pas à priori empêché des logiciels malveillants tels que BlackPOS ou BackOff de collecter des données directement en mémoire vive.

Mais l’environnement dépeind par les cinq anciens salariés du groupe – dont trois anciens cadres ; certains travaillant désormais pour des prestataires de Home Depot – ne plaide guère en sa faveur : ils « décrivent un environnement de travail où le turnover des employés, les logiciels dépassés, et une préférence affirmée pour une sécurité de haut niveau pénalisaient l’efficacité de l’équipe ». Et ce, dans le but d’éviter des « mises à niveau ambitieuses qui auraient été coûteuses » et auraient pu affecter certains processus métiers critiques, précisent nos confrères. Home Depot utiliserait notamment Endpoint Protection 11 de Symantec, lancé en 2007 et dont le support doit être abandonné en janvier prochain.

Nos confrères de Bloomberg n’ont pas réussi à obtenir de commentaires de Symantec et de Jeff Mitchell, RSSI de Home Depot. Un porte-parole de l’enseigne s’est contenté d’affirmer « travailler continuellement à améliorer la sécurité IT afin de protéger les données clients », reprenant ainsi peu ou prou les termes du communiqué dans lequel la chaîne de magasins reconnaissait récemment avoir été victime d’une intrusion.