Home Depot, un piratage à 56 millions de cartes bancaires

La chaîne de magasins estime à près de 60 millions le nombre de cartes bancaires compromises dans un incident qui aurait duré au moins 5 mois.

Alors que certaines révélations sèment le doute sur la qualité des pratiques de sécurité de Home Depot, la chaîne de magasins vient de communiquer sur l’ampleur de l’incident dont elle a été victime. Comme attendu, celui-ci aurait commencé en avril pour s’achever en septembre. Selon l’enseigne, « les criminels ont utilisé un logiciel malveillant unique, construit sur-mesure, pour échapper à la détection. Le logiciel malveillant n’a pas été observé précédemment dans d’autres attaques, selon les partenaires de sécurité de Home Depot. » En tout, l’attaque aurait compromis « environ 56 millions de cartes de paiement ».

Toujours dans son communiqué, Home Depot revient sur le projet de chiffrement des données évoqué précédemment par d’anciens salariés s’étant confiés à Bloomberg. Et de préciser qu’il s’appuie sur une technologie signée Voltage Security, qu’il a été lancé en janvier et que son déploiement « dans tous les magasins aux Etats-Unis s’est achevé le dimanche 13 septembre. Le déploiement dans les magasins canadiens devrait être finalisé début 2015 ». Mais surtout, l’enseigne réitère son engagement en faveur de la carte à puce et de son code PIN, soulignant que le déploiement a commencé début 2013 et doit s’achever d’ici la fin de l’année. Et comme pour souligner l’ampleur de son engagement en faveur de la sécurité, Home Depot souligne que « ces projets ont nécessité des dizaines de milliers de nouvelles lignes de code et le déploiement de près de 85 000 terminaux de saisie de code PIN dans les magasins ».

Mais de nombreuses questions restent sans réponse. A commencer par la réactivité de Home Depot et de ses partenaires de sécurité. Selon Brian Krebs, des données continuaient d’être dérobées des terminaux de l’enseigne le 7 septembre dernier, soit cinq jours après la découverte de l’incident. Mais est-il bien crédible que les données de seules 56 millions de cartes aient été compromises, alors que l’incident Target s’était traduit par la compromission de 40 millions de cartes… mais en seulement trois semaines. De quoi laisser largement dubitatif. Toutefois, Brian Krebs apporte encore là un potentiel élément de réponse. Selon MasterCard, seuls les terminaux en self-service – sans caissier – auraient été compromis, de quoi limiter le nombre de cartes de paiement concernées.

Pour l’heure, Home Depot estime à 62 M$ le coût de l’incident de sécurité dont il a été victime ; 27 M$ de ce total devrait être couverts par ses assurances.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close