Piratage chez Oracle : alerte rouge en points de vente ?

Alerte rouge ou principe de précaution ? Difficile d’interpréter le discours qu’Oracle tient à propos du piratage dont il a été victime.

L’éditeur américain a reconnu, ce week-end, avoir détecté – et supprimé – du code malveillant dans certains systèmes MICROS, du nom de cette entreprise sur laquelle il avait mis la main en 2014 pour plus de 5 milliards de dollars et qui est devenue sa division Retail.

La chronologie des événements telle que présentée par Brian Krebs suggère que l’attaque avait été découverte il y a au moins deux semaines.

L’expert en cybersécurité avait en l’occurrence été averti dès le 25 juillet par un utilisateur de terminaux point de vente MICROS. Ce dernier expliquait avoir été informé, par Oracle, de probables complications dans les opérations de support client du fait d’une réinitialisation des ordinateurs de certains employés.

Deux chercheurs dits « proches du dossier » pointent du doigt le collectif Carbanak, que l’on dit composée de cybercriminels basés essentiellement en Russie et qui aurait volé plus d’un milliard de dollars en s’en prenant à des commerçants ainsi qu’à des institutions financières.

Les pirates seraient, dans le cas présent, parvenus à s’infiltrer dans l’un des systèmes informatiques d’Oracle, puis à étendre l’infection à plus de 700 postes (clients et serveurs) en remontant le réseau.

Ils auraient notamment compromis un portail d’assistance à distance pour les exploitants de terminaux point de vente MICROS. Assez pour y déployer un malware leur permettant d’intercepter les données de connexion renseignées par les utilisateurs.

Un Target / Home Depot / Wendy’s en puissance ?

C’est là que le bât blesse, la détention de ces identifiants et mots de passe par des tiers pouvant donner lieu à une prise de contrôle à distance… et à l’injection de code transformant les terminaux en aspirateurs à données, à l’image de ce qui s’est produit lors des hacks d’envergure contre les chaînes de magasins américaines Target, Wendy’s et Home Depot.

En l’état, on ignore quand l’attaque a débuté et donc sur quelle période elle s’est échelonnée. Pour ce qui est de son ampleur, on relèvera qu’Oracle avait déclaré, lors de l’acquisition de MICROS, que 200 000 enseignes du secteur de la restauration utilisaient ses TPE, ainsi que 100 000 commerçants et 30 000 hôtels.

Oracle se préparerait à adresser à ses clients un e-mail récapitulatif en leur annonçant que leurs identifiants de connexion au portail d’assistance ont été réinitialisés. Et en leur recommandant fortement de modifier ceux éventuellement confiés aux équipes de MICROS pour se connecter à distance à leurs TPE.

Reste une question : l’éditeur a-t-il attendu qu’un client s’enquît de la situation pour communiquer ou bien cette sollicitation a-t-elle tout simplement fait office d’alerte ?

Crédit photo : Zurijeta – Shutterstock.com