Home Depot : encore la faille du partenaire

Home Depot vient, dans un communiqué, de lever le voile sur quelques détails relatifs à l’important incident de sécurité dont il a été victime. Le premier d’entre eux n’est pas sans rappeler un autre incident de sécurité majeur : celui dont Target a été victime fin 2013.

Ainsi, selon Home Depot, « le nom d’utilisateur et le mot de passe d’un fournisseur tiers » ont été utilisés par les « criminels » pour « entrer dans le périmètre du réseau » du groupe. Mais ceux-ci n’ont toutefois pas permis d’accéder directement aux terminaux de point de vente. Chez Target, les attaquants se seraient infiltrés en utilisant des identifiants volés à Fazio Mechanical Services, un spécialiste des systèmes de ventilation et de climatisation.

Plus loin, Home Depot assure avoir été victime d’un logiciel malveillant « unique, construit sur-mesure », mais sans préciser s’il s’agit d’une variante spécifique de BlackPOS, comme des sources proches de l’enquête l’ont précédemment affirmé à Brian Krebs. Le groupe insiste d’ailleurs : « le logiciel malveillant utilisé dans l’attaque n’a pas été observé dans des attaques précédentes et a été conçu pour échapper à la détection par les logiciels anti-virus. »

Mais en plus de dérober des détails de cartes de paiement, les pirates ont également récolté « environ 53 millions d’adresses e-mails » dans des fichiers ne contenant pas de « données personnelles sensibles ». Reste qu’Home Depot alerte du risque d’utilisation de ces fichiers pour conduire des campagnes de hameçonnage ciblé.

Souhaitant rassurer sur les mesures mises en place pour améliorer la sécurité, Home Depot souligne avoir déployé un système de chiffrement pour les données de cartes bancaires dans tous ses magasins aux Etats-Unis, et prévoir de finir son déploiement au Canada début 2015. En outre, le groupe déploie des terminaux supportant le paiement par cartes à puce EMV.