Des cybercriminels russes ont infiltré les systèmes informatiques de Micros, une division d’Oracle (rachetée en juin 2014 par la firme de Larry Ellison) qui est au niveau mondial l’un des plus importants fournisseurs de solutions de terminaux points de ventes utilisés pour enregistrer les paiements des clients dans les boutiques et les restaurants. L’intrusion a touché 700 ordinateurs au sein de cette division spécialisée dans les activités de distribution (retail) en commençant à s’infiltrer sur une seule machine dans l’entreprise, selon Brian Krebs, bloggeur spécialisé sur les sujets de sécurité.
L’incident est inquiétant par l’étendue potentielle de l’attaque et par les systèmes affectés. Lors de son rachat par Oracle, il y a deux ans, les solutions de Micros étaient utilisées sur plus de 330 000 sites dans 180 pays. C’est évidemment embarrassant pour Oracle qui, de façon générale, insiste beaucoup sur la sécurité de ses produits. L’éditeur de Redwood Shores dit avoir prévenu les clients de Micros. Dans une lettre non datée consultée par nos confrères d’IDG News Service, Oracle dit avoir détecté et être intervenu sur du code malveillant dans certaines systèmes Micros existants. Il est précisé que les données de paiement présentes dans les systèmes Micros sont chiffrées, à la fois lorsqu’elles sont stockées et lorsqu’elles sont transférées.
Le portail du support client a échangé avec le serveur d'un gang russe
Oracle assure avoir mis en œuvre des mesures complémentaires de sécurité pour empêcher que l'intrusion ne se reproduise, mais sans les décrire plus précisément. Il est demandé aux clients des systèmes Micros de changer leurs mots de passe, ainsi que le mot de passe de tout compte utilisé par un représentant de Micros pour accéder au système de paiement. Dans son billet, le bloggeur Brian Krebs cite deux chercheurs ayant connaissance des investigations en cours et qui indiquent qu’il a été découvert que le portail de support client d’Oracle avait communiqué avec un serveur exploité par le gang Carbanak, un groupe cybercriminel russe suspecté d’avoir volé plus d’un milliard à des banques, enseignes de la distribution et chaînes d’hôtellerie au cours des dernières années.
Les restaurants, hôtels et magasins ont constitué depuis deux ans une cible privilégiée pour les attaques menées contre des terminaux points de vente. De nombreux systèmes ont été infiltrés, souvent dans le cadre d’attaques conduites sur les comptes des administrateurs systèmes, à l’aide de mots de passe utilisés pour y accéder à distance.