Cyber-attaque : Home Depot passe entre les gouttes
L’enseigne américaine de grande distribution estime que la cyber-attaque dont elle a été victime au printemps n’aura qu’un impact limité sur ses résultats 2014.
Frais légaux, dédommagement des clients, mauvaise publicité : le groupe américain de grande distribution Home Depot estime à 62 millions de dollars le coût global du vol massif de données dont il a été victime. Pour autant, ses prévisions de croissance sont réaffirmées pour l’année 2014 : il est question d’un chiffre d’affaires en hausse de 4,8 %, pour un bénéfice par action dépassant les 4,50 dollars.
Difficile de parler d’optimisme, mais l’enseigne estime avoir adopté les mesures nécessaires pour restaurer une confiance vis-à-vis des consommateurs, en renforçant notamment le chiffrement des informations de paiement sur ses systèmes de caisses aux Etats-Unis. La même démarche sera appliquée d’ici à début 2015 pour les boutiques implantées au Canada.
La première alerte avait été lancée le 2 septembre dernier. En réponse à une alerte de ses partenaires financiers, Home Depot lançait une enquête portant sur des « activités suspectes » au sein de son système d’information. La piste alors envisagée était confirmée une semaine plus tard : une cyber-attaque avait entraîné la propagation d’informations personnelles et de coordonnées bancaires renseignées par des millions de clients.
Tous les consommateurs ayant réalisé au moins un paiement par carte chez Home Depot entre début avril et mi-septembre peuvent considérer que leurs données sont tombés aux mains de tiers… sauf s’ils ont acheté au Mexique ou sur le site Internet HomeDepot.com. Dans l’état actuel, rien ne laisse suggérer que les pirates aient pu récupérer les codes de protection associés aux cartes bancaires.
Home Depot vient toutefois d’apporter quelques détails sur la technique d’assaut : les pirates se sont infiltrés dans son réseau en utilisant une paire identifiant / mot de passe subtilisée chez un commerçant partenaire. Ils ont ensuite procédé à une « élévation de privilèges » afin d’obtenir des droits suffisants pour déployer un malware conçu sur mesure afin d’infecter des systèmes de caisses.
En plus des 56 millions de numéros de cartes potentiellement exposés (information communiquée le 18 septembre), on apprend que 53 millions d’adresses électroniques ont fuité. Il est fort probable que les clients concernés reçoivent, dans les prochains temps, des e-mails suspects leur demandant de mettre à jour leurs coordonnées bancaires… et redirigeant vers des pages Web malveillantes.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?
Crédit photo : Zurijeta – Shutterstock.com