Home Depot confirme la fuite de 53 millions d’adresses email

Home Depot, qui avait confirmé déjà au débit du mois de septembre avoir été la victime d’un piratage conséquent avec 56 millions de numéros de cartes bancaires volés, revient à nouveau sur l’intrusion. La chaine de magasins indique en effet que 53 millions d’adresses email ont été dérobées, ce qui pourrait donner lieu à une vaste campagne de phishing.

Après le vol des numéros de 56 millions de cartes bancaires...

Les actualités sur la sécurité suivent deux tendances bien particulières depuis l’année dernière. D’un côté, le passage des révélations de Snowden a provoqué de nombreuses interrogations et la sécurité est devenue un argument marketing. De l’autre, les piratages se sont fait plus sophistiqués et plus intensifs, les cibles étant de plus en plus grandes, avec des conséquences énormes. On rappellera par exemple le cas de la chaine Target en février dernier, avec 40 millions de numéros de cartes bancaires dérobés.

Plus récemment, début septembre, c’était une autre chaine américaine, Home Depot, qui faisait les frais des pirates. Les attaques se sont espacées pendant environ six mois, sur une période allant d’avril à septembre. Quand la sécurité s’est rendu compte de l’intrusion, il était bien trop tard : il s’agissait cette fois des numéros de 56 millions de cartes bancaires qui avaient été emportés. Selon Home Depot cependant, rien ne permettrait d’indiquer que les codes PIN avaient été compromis eux aussi.

... voici celui de 53 millions d'adresses email 

56 millions de cartes bancaires faisaient déjà du piratage de Home Depot un cas à part, mais l’entreprise n’en a pas terminé avec la sécurité. Elle est à nouveau obligée d’annoncer de mauvaises nouvelles. Avec l’examen des actions menées par les pirates entre avril et septembre, il est apparu que les brèches avaient été plus nombreuses que prévues. Ainsi, une base de données comportant 53 millions d’adresses email a été volée.

L’ensemble des clients concernés sera contacté pour être informé de la situation. Home Depot indique cependant que les mots de passe n’ont pas été compromis et qu’il n’est donc pas possible en théorie de se servir des comptes utilisateurs. Cependant, ces adresses email pourraient faire l’objet de tentatives d’intrusion dans le cas où des failles rattachées aux services webmail permettaient des attaques par force brute. D’autre part, il est évident que cette base servira à la conception d’une vaste campagne de phishing.

Les clients pourraient donc recevoir par exemple des emails leur indiquant qu’un problème de sécurité a eu lieu et qu’il est nécessaire de cliquer sur un lien pour réinitialiser le mot de passe. Dans le contexte actuel, il est probable que beaucoup se feraient avoir. Et, comme d’habitude, la réutilisation des mots de passe pourrait empirer la situation.

Home Depot cherche à rassurer 

Home Depot appuie dans tous les cas sur un point en particulier : « Les criminels ont utilisé l’identifiant et le mot de passe d’un fournisseur pour pénétrer le périmètre réseau de Home Depot. Ces identifiants seuls n’ont pas pu permettre un accès direct aux appareils des points de vente ».

Enfin, l’entreprise en profite pour indiquer dans son communiqué que des sécurités supplémentaires ont depuis été mises en place. D’une part, le chiffrement a été renforcé. D’autre part, le déploiement du standard EMV (Europay Mastercard Visa) pour les terminaux de paiement est accéléré. Un système qui n’a pourtant rien de neuf puisqu’il est présent partout en France depuis 2006.