Compromission des points de vente Home Depot

Les attaquants ont utilisé les identifiants volés d'un prestataire et un logiciel malveillant sur mesure pour points de vente afin de collecter environ 56 millions de cartes de paiement et 53 millions d'adresses e-mail sur les caisses automatiques américaines et canadiennes de Home Depot pendant cinq mois — la plus grande compromission de cartes du secteur de la distribution de son époque.

Le 8 septembre 2014, The Home Depot a confirmé enquêter sur une compromission de ses systèmes de paiement. Le 18 septembre, le distributeur de bricolage a révélé qu'environ 56 millions de cartes de paiement avaient été compromises dans ses magasins américains et canadiens — la plus grande compromission de cartes du secteur de la distribution de son époque, dépassant l'intrusion de Target en 2013 et celle de TJX en 2005.

Ce qui s'est passé

Les attaquants ont pris pied initialement à l'aide d'identifiants de connexion volés à un prestataire tiers. Depuis cette tête de pont, ils se sont introduits dans le réseau d'entreprise de Home Depot, puis ont atteint les systèmes de points de vente des caisses automatiques, moins directement surveillées que les caisses tenues par du personnel.

Sur ces terminaux, les intrus ont installé un logiciel malveillant sur mesure pour points de vente — largement décrit comme une variante de la famille BlackPOS / FrameworkPOS — conçu pour extraire les données de cartes de paiement non chiffrées de la mémoire de l'appareil au moment où la carte était lue. Le logiciel a opéré d'environ avril à septembre 2014, soit près de cinq mois, avant d'être détecté.

Ce qui a été exposé

Environ 56 millions de cartes de paiement uniques (données de piste collectées au point de vente).
Environ 53 millions d'adresses e-mail de clients, révélées plus tard en 2014.

Comme le logiciel malveillant capturait les données de carte en mémoire avant leur chiffrement, même les cartes traitées par des terminaux censés être sécurisés ont été exposées.

Impact

La compromission a coûté à Home Depot environ 179 millions de dollars en règlements et frais connexes, dont :

Un règlement de 134,5 millions de dollars avec les réseaux de cartes de paiement et les banques émettrices au titre des fraudes et des coûts de réémission des cartes, ainsi que des versements supplémentaires aux coopératives de crédit.
Un règlement d'action collective de consommateurs et des services de protection contre l'usurpation d'identité.
Un règlement multi-États de 17,5 millions de dollars en novembre 2020 avec 46 États américains et le district de Columbia.

En réponse, Home Depot a accéléré le déploiement du chiffrement de point à point (avec Voltage Security) dans ses magasins américains et a adopté des terminaux à carte à puce EMV.

Pourquoi c'est important

Home Depot, survenant moins d'un an après la compromission de Target, a martelé deux leçons pour la sécurité du commerce de détail. Premièrement, l'accès des prestataires tiers est une voie d'attaque majeure — le même vecteur que celui ayant compromis Target — et doit être strictement segmenté et surveillé. Deuxièmement, les systèmes de points de vente qui traitent les données de carte en mémoire non chiffrée sont intrinsèquement exposés ; l'incident a accéléré la transition du secteur américain de la distribution vers le chiffrement de point à point et les cartes à puce EMV, qui chiffrent les données de carte de bout en bout et rendent les données de piste magnétique collectées bien moins exploitables par les fraudeurs.

Chronologie

1 avril 2014

Les attaquants utilisent des identifiants volés à un prestataire tiers pour entrer dans le réseau de Home Depot et déployer un logiciel malveillant sur mesure sur les caisses automatiques.

2014-04 / 2014-09

Pendant environ cinq mois, le logiciel malveillant collecte les données de cartes de paiement sur les terminaux des magasins américains et canadiens.

2 septembre 2014

Le journaliste spécialisé Brian Krebs signale une probable compromission après que des banques ont relié des fraudes à des cartes utilisées chez Home Depot.

8 septembre 2014

Home Depot confirme publiquement enquêter sur une possible compromission de ses systèmes de paiement.

18 septembre 2014

Home Depot confirme qu'environ 56 millions de cartes de paiement ont été compromises et indique que le logiciel malveillant a été supprimé et un chiffrement renforcé déployé.

1 novembre 2014

Home Depot révèle qu'environ 53 millions d'adresses e-mail de clients ont également été dérobées.

24 novembre 2020

Home Depot accepte un règlement de 17,5 millions de dollars avec 46 États et le district de Columbia au sujet de la compromission.

Sources

krebsonsecurity.comhttps://krebsonsecurity.com/2014/09/home-depot-56m-cards-impacted-malware-contained/

securityweek.comhttps://www.securityweek.com/home-depot-says-56-million-payment-cards-compromised-data-breach/

sec.govhttps://www.sec.gov/Archives/edgar/data/0000354950/000035495014000036/hd_8kx09182014.htm

texasattorneygeneral.govhttps://www.texasattorneygeneral.gov/news/releases/ag-paxton-announces-175-million-settlement-home-depot-regarding-data-breach

Incidents liés

RançongicielRançon payée18 juin 2024

Rançongiciel BlackSuit contre CDK Global (2024)

Les opérateurs de BlackSuit ont chiffré la plateforme de gestion des concessionnaires de CDK Global, mettant hors ligne environ 15 000 concessionnaires automobiles nord-américains pendant près de deux semaines. Une seconde attaque a frappé dès le deuxième jour de la reprise. Les pertes pour le secteur sont estimées à plus d'un milliard de dollars ; CDK aurait versé une rançon de 25 millions de dollars.

Victim: CDK Global
Loss: $1.00B

RançongicielRançon payée30 mai 2021

Rançongiciel REvil contre JBS Foods

Des affiliés de REvil ont chiffré les systèmes du plus grand transformateur de viande au monde, paralysant des usines de transformation de bœuf et de porc aux États-Unis, au Canada et en Australie. JBS a payé une rançon de 11 millions de dollars — l'un des plus importants paiements de rançongiciel publiquement confirmés à l'époque.

Victim: JBS S.A. / JBS USA
Loss: $100.0M

Fuite de donnéesRésolu21 mai 2014

Compromission des identifiants eBay

Les attaquants ont utilisé un petit nombre d'identifiants d'employés compromis pour accéder au réseau d'entreprise d'eBay et exfiltrer une base de données couvrant les 145 millions d'utilisateurs — noms, mots de passe chiffrés, adresses e-mail et postales, numéros de téléphone et dates de naissance.

Victim: eBay
Records: 145.0M

Fuite de donnéesEn cours7 juin 2026

Fuite d'extorsion ShinyHunters chez Baker Distributing via Salesforce (2026)

Après l'échec des négociations, le groupe d'extorsion ShinyHunters a publié des données qu'il affirme avoir volées dans les systèmes Salesforce et SharePoint de Baker Distributing, exposant plus de 100 000 adresses e-mail de clients et enregistrements de contact.

Victim: Baker Distributing Company
Records: 102.9K