La vague d’attaques de terminaux point de vente révélée cet été, avec l’intrusion de la division Micros d’Oracle par des cybercriminels russes, a touché cette fois un fournisseur de solutions Point-of-sale (PoS) dans le cloud qui compte 38 000 entreprises utilisatrices. La société Lightspeed, basée à Montréal, a signalé jeudi à ses utilisateurs avoir repéré un accès non autorisé dans son système Retail et demandé à des experts en sécurité externes d'enquêter sur l'incident. Son logiciel est utilisé par les détaillants pour gérer leurs ventes à partir de tablettes, de smartphones, entre autres terminaux. Les attaquants dérobent les identifiants des utilisateurs des terminaux point de vente (TPV) afin d’installer sur ces systèmes des malwares qui leur permettront ensuite de voler les informations de cartes de crédit des clients ayant réglé leurs achats en boutique.
Depuis la révélation, début août, de l’attaque perpétrée sur la division Micros d’Oracle, ce type d’intrusion a touché d’autres fournisseurs de TPV : Cin7, ECRS, Navy Zebra, PAR Technology et Uniwell. Et courant août, certaines chaînes de boutiques et d’hôtels, comme la marque de vêtements Eddie Bauer ou le groupe hôtelier HEI ont commencé à avertir leurs clients que leurs systèmes informatiques avaient été compromis par un malware ayant entraîné un vol de données sur leurs cartes de paiement, numéros, noms des titulaires, codes de sécurité et dates d’expiration. L’enquête menée par Eddie Bauer montrait que le malware en question faisait partie d’une attaque plus large qui visait plusieurs chaînes de restaurants, d’hôtels et de boutiques.
Les clients de Lightspeed génèrent 12 Md$ de transactions/an
Chez Lightspeed, l’intrusion a ciblé la base de données centrale qui stocke les informations sur les utilisateurs de ses TPV. Ainsi, comme pour ses concurrents déjà attaqués, l’attaque a exposé les données sur les solutions vendues et les mots de passe chiffrés avec lesquels les utilisateurs accèdent aux applications de Lightspeed. Dans certains cas, les signatures électroniques des consommateurs qui transitent par le logiciel PoS ont également été compromises. Lightspeed dit toutefois n’avoir relevé aucun signe de l’utilisation de ces données. « Il est important de rappeler que Lightspeed ne stocke aucune information de cartes de crédit et que, de ce fait, aucune des données de titulaires de cartes de paiement n’ont été compromises dans cet incident », a indiqué Bradley Grill, porte-parole de l’entreprise, dans un mail à nos confrères d’IDG News Service.
Lightspeed a averti les utilisateurs de ses solutions cloud, qui réalisent annuellement près de 12 milliards de dollars de transactions. Il leur a recommandé de changer leurs mots de passe. On trouve parmi eux beaucoup de petits détaillants qui vendent des vêtements, de la bijouterie, des livres et des articles de sport. En réaction à l’attaque qu’il a subie, Lightspeed limite les accès à ses données sensibles. Il renforce également ses outils de sécurité afin de pouvoir détecter des attaques plus avancées.