La chaîne américaine de magasins de bricolage Home Depot a révélé jeudi que les pirates qui avaient pénétré illégalement dans son système de paiement ont volé les données de 53 millions de clients.
Outre les données relatives aux cartes bancaires dans environ 56 millions de transactions, les pirates se sont emparés des adresses électroniques de 53 millions de clients, écrit Home Depot dans un document boursier.
Toutefois, «ces listages ne contenaient ni les mots de passe, ni les informations sur les cartes bancaires ou d'autres données sensibles et personnelles», assure la chaîne de magasins.
Home Depot indique être en train de prévenir les clients affectés aux États-Unis et au Canada et leur demande de faire attention à des arnaques qui passeraient par de faux appels pour leur soutirer des informations confidentielles.
Le distributeur décrit aussi la façon dont les pirates ont procédé: ils se seraient procuré les identifiant et mot de passe d'un vendeur tiers, ce qui leur a donné un accès normal à une partie du réseau informatique de Home Depot aux États-Unis et au Canada.
Home Depot, qui avait reconnu l'existence de cette attaque le 8 septembre, avait réaffirmé mi-septembre qu'il n'y avait «pas de preuve» que des codes de cartes bancaires aient été piratés ou que des transactions en ligne aient pu être affectées.
Aux États-Unis, beaucoup d'achats peuvent être réglés sans que le client ne tape son code secret.
Home Depot, qui affirme avoir neutralisé le logiciel malveillant, prévient que les litiges en cours et les dépenses qu'il a effectuées dans le cadre de cette affaire devraient affecter ses bénéfices au quatrième trimestre et lors des trimestres suivants.
Une recrudescence de cyberattaques contre de grandes entreprises américaines a été constatée ces derniers mois. Des données de 76 millions de ménages et de 7 millions de PME, clients de la banque JPMorgan Chase, ont été volées récemment.