Des sources dans l’industrie financière disent qu’elles voient des signes que Dairy Queen pourrait être la dernière chaîne de magasins à être victime de cybercrooks décidés à voler des données de cartes de crédit et de débit. Dairy Queen dit n’avoir aucune indication d’une violation de carte dans l’un de ses milliers d’établissements, mais la société reconnaît également que presque tous les magasins sont des franchises et qu’il n’y a pas de processus d’entreprise établi ou d’exigence que les franchisés communiquent les problèmes de sécurité ou les violations de carte au siège de Dairy Queen.
Mise à jour, 28 août, 12h08 ET : Un porte-parole de Dairy Queen a confirmé que l’entreprise a récemment entendu parler des services secrets américains au sujet d’une » activité suspecte » liée à une souche de logiciel malveillant voleur de cartes trouvée dans des centaines d’autres intrusions dans des magasins. Dairy Queen dit qu’il est toujours en train d’enquêter et de travailler avec les autorités, et ne sait pas encore combien de magasins peuvent être touchés.
Histoire originale:
J’ai d’abord commencé à entendre des rapports sur une possible violation de carte chez Dairy Queen il y a au moins deux semaines, mais je n’ai pu trouver aucun signe corroborant cela – que ce soit en rôdant dans des « boutiques de cartes » en ligne ombragées ou en parlant avec des sources dans le secteur bancaire. Ces derniers jours, cependant, de nombreuses institutions financières m’ont dit qu’elles étaient confrontées à une série de fraudes sur des cartes qui ont toutes été utilisées récemment dans divers établissements Dairy Queen dans plusieurs États. Il y a également des indications que ces mêmes cartes sont vendues dans le sous-sol de la cybercriminalité.
Le dernier rapport dans les tranchées provient d’une coopérative de crédit du Midwest des États-Unis. La personne chargée de la prévention des fraudes dans cette coopérative de crédit m’a contacté pour savoir si j’avais entendu parler d’une brèche chez Dairy Queen, déclarant que l’institution financière avait détecté une fraude sur des cartes qui avaient toutes été utilisées récemment dans une demi-douzaine de magasins Dairy Queen dans son État d’origine et aux alentours.
Selon la coopérative de crédit, plus de 50 clients ont été victimes d’un blizzard de fraudes à la carte rien qu’au cours des derniers jours après avoir utilisé leurs cartes de crédit et de débit dans des établissements Dairy Queen – certains aussi éloignés que la Floride – et le schéma de fraude suggère que les magasins DQ ont été compromis au moins depuis le début de juin 2014.
« Nous sommes en train de nous faire claquer aujourd’hui », a déclaré mardi matin le responsable des fraudes à propos de l’activité frauduleuse remontant aux cartes de membres utilisées dans divers établissements Dairy Queen au cours des trois dernières semaines. « Nous recevons juste toutes sortes de cas de fraude provenant de membres ayant des copies contrefaites de leurs cartes utilisées dans des magasins à un dollar et des épiceries. »
D’autres institutions financières contactées par ce journaliste ont constaté des fraudes récentes sur des cartes qui ont toutes été utilisées dans des établissements Dairy Queen en Floride et dans plusieurs autres États, dont l’Alabama, l’Indiana, l’Illinois, le Kentucky, l’Ohio, le Tennessee et le Texas.
Le vendredi 22 août, KrebsOnSecurity a parlé avec Dean Peters, directeur des communications de la chaîne de restauration rapide basée à Minneapolis. Peters a déclaré que la société n’avait entendu aucun rapport de fraude à la carte dans les emplacements individuels de DQ, mais il a souligné que presque tous les magasins Dairy Queen étaient détenus et exploités de manière indépendante. Lorsqu’on lui a demandé si DQ avait une sorte d’exigence que ses franchisés informent la société en cas de violation de la sécurité ou de problème avec leurs systèmes de traitement des cartes, Peters a répondu non.
« À l’heure actuelle, il n’y a pas de politique de ce type », a déclaré Peters. « Nous les aiderions s’ils nous contactaient au sujet d’une violation, mais jusqu’à présent, nous n’avons entendu aucun de nos franchisés dire qu’ils avaient eu une sorte de violation. »
Julie Conroy, directrice de recherche à la société de conseil Aite Group, a déclaré que les entreprises nationales comme Dairy Queen devraient absolument avoir des politiques de notification des violations en place pour les franchisés, ne serait-ce que pour protéger l’intégrité de la marque et de l’image publique de l’entreprise.
« Sans aucun doute, c’est une question de protection de la marque », a déclaré Conroy. « Cela revient à l’éternel défi avec tous les petits commerçants. Même avec des entreprises comme Dairy Queen, où le vaisseau-mère est énorme, chacun des établissements individuels est essentiellement un magasin familial, et beaucoup de ces magasins ne pensent toujours pas qu’ils sont une cible pour ce type de fraude. Par extension, le vaisseau-mère se concentre sur la gestion d’un groupe de chats sous la forme de milliers de franchisés, et il ne pense pas que tous ces magasins sont des cibles pour les cybercriminels et qu’ils devraient avoir une sorte de politique d’entreprise à ce sujet. En fait, les marques franchisées qui ont mis en place ce genre de politique sont beaucoup plus l’exception que la règle. »
DEJA VU TOUT DE NOUVEAU?
La situation qui semble se développer avec Dairy Queen rappelle des rapports similaires le mois dernier de plusieurs banques sur des fraudes à la carte remontant à des dizaines de sites de Jimmy John’s, une chaîne nationale de sandwicheries qui est aussi presque entièrement détenue par des franchisés. Jimmy John’s a déclaré qu’il enquêtait sur les allégations de violation, mais jusqu’à présent, il n’a pas confirmé les rapports de violations de cartes dans l’un de ses 1 900+ magasins à l’échelle nationale.
L’avis du DHS/Secret Service.
Les rumeurs d’une violation de carte impliquant au moins une fraction des 4 500 magasins nationaux de Dairy Queen, gérés de manière indépendante, surviennent dans un contexte d’avertissements de plus en plus bruyants de la part du U.S. Les rumeurs de violation de cartes impliquant au moins une partie des 4 500 magasins indépendants de Dairy Queen s’inscrivent dans le cadre des avertissements de plus en plus insistants du ministère américain de la sécurité intérieure et des services secrets, qui ont déclaré la semaine dernière que plus de 1 000 entreprises américaines avaient été touchées par des logiciels malveillants conçus pour voler les données des cartes de crédit dans les systèmes de caisses enregistreuses.
Dans cette alerte, les agences ont prévenu que les pirates ont analysé les réseaux à la recherche de systèmes de points de vente avec des capacités d’accès à distance (pensez à LogMeIn et pcAnywhere), puis ont installé des logiciels malveillants sur des dispositifs de points de vente protégés par des mots de passe faibles et faciles à deviner. L’alerte a noté qu’au moins sept vendeurs/fournisseurs de points de vente ont confirmé que plusieurs clients avaient été affectés.
A peu près au moment où l’alerte des services secrets a été diffusée, UPS Stores, une filiale de l’United Parcel Service, a déclaré qu’elle avait scanné ses systèmes à la recherche de signes des logiciels malveillants décrits dans l’alerte et qu’elle avait trouvé des failles de sécurité qui pourraient avoir conduit au vol de données de crédit et de débit de clients dans 51 franchises UPS à travers les États-Unis (environ 1 % de ses 4 470 centres franchisés à travers les États-Unis). Incidemment, la façon dont UPS a géré la divulgation de cette brèche – en désignant clairement les différents magasins concernés – devrait servir de modèle aux autres entreprises aux prises avec des brèches similaires. Continuer la lecture →