Si vous avez effectué un achat par carte chez Home Depot depuis avril, votre compte risque d'être piraté. Ce vol de données massif, peut-être le plus important jamais subi par un détaillant américain, s'ajoute aux nombreux autres commis dans la dernière année. Qu'attend-on pour protéger efficacement les informations des clients?

Les systèmes des magasins canadiens et américains ont été compromis, a confirmé Home Depot lundi. Le géant des menus travaux n'a pas donné de chiffres, mais en cinq mois, les voleurs ont pu s'en donner à coeur joie. Chez Target, 40 millions de numéros de carte ont été aspirés en moins de deux semaines à la fin de l'an dernier.

L'épisode a coûté 148 millions de dollars à la chaîne, sans compter l'impact sur ses ventes. Et elle doit encore se défendre contre une centaine de poursuites, dont celles des banques forcées d'éponger les achats frauduleux imputés à leurs clients. Le PDG et le directeur des systèmes d'information de Target ont perdu leur poste dans la débâcle.

Le PDG de Home Depot avait déjà annoncé qu'il céderait son siège le 1er novembre. On verra s'il devient président du conseil comme prévu. Le titre de Home Depot, qui valait 91,61$ à la fin de la semaine dernière, a perdu 2,36$ depuis. L'agence de notation Moody's a fait savoir qu'elle considérait cet événement comme négatif pour la cote de crédit.

On ne sait pas encore comment l'attaque a été perpétrée, mais des experts en sécurité informatique voient des similitudes avec le cas de Target. Apparemment, le logiciel malveillant utilisé chez cette dernière n'était pas très raffiné. Le mécanisme de protection de la chaîne l'aurait même détecté, mais ces alertes auraient été ignorées, a découvert le magazine Bloomberg Businessweek.

Il faut dire que plusieurs caractéristiques des systèmes de paiement américains facilitent la tâche des pirates. L'usage des bandes magnétiques (au lieu de puces, pas inviolables mais plus sécuritaires) dans les transactions par carte a été maintes fois dénoncé.

Plusieurs banques permettent aussi de changer le numéro d'identification personnel (NIP) d'une carte de débit très facilement, signale le blogueur qui a mis au jour la faille de Home Depot, Brian Krebs. Leurs systèmes téléphoniques automatisés exigent seulement quelques renseignements personnels faciles à obtenir sur le marché noir. Les escrocs peuvent ensuite retirer des sommes importantes des guichets automatiques.

Certes, les titulaires des cartes ne sont pas tenus responsables. Sauf qu'au bout du compte, tous les consommateurs paient pour ces vols de données, puisque les détaillants et les banques finissent toujours par leur refiler la note.

Ne nous laissons pas éblouir par la technologie. Ces pirates ne sont qu'une version moderne des braqueurs de banques. Agir à distance les rend difficiles à retracer, pas impossibles à bloquer. Les institutions doivent mettre un terme à ces pillages comme elles ont fait cesser les vols de banque: en prenant les mesures nécessaires.

Qu'en pensez-vous? Exprimez votre opinion