La semaine dernière, plusieurs milliers de terminaux de paiement par carte de crédit chez divers détaillants à travers le pays ont soudainement cessé de fonctionner, leurs écrans LCD affichant des écrans vides au lieu de chiffres et de lettres. Les commerçants perplexes ont commencé à s’inquiéter que cela fasse peut-être partie d’une attaque sophistiquée de pirates informatiques contre leurs caisses enregistreuses. Il s’avère que l’incident était effectivement lié à la sécurité, mais pour une fois, il n’avait rien à voir avec des cyber-voleurs.
Terminal de paiement Hypercom L4250.
Le 7 décembre 2014, certains anciens modèles de terminaux de paiement fabriqués par Hypercom a cessé de fonctionner en raison de l’expiration d’un certificat cryptographique utilisé dans les appareils, selon Scottsdale, en Arizona. Paiements d’équinoxela société propriétaire de la marque Hypercom.
« Le mécanisme de sécurité a été déclenché par le report de la date et non par une attaque ou une violation du terminal », a déclaré Stuart Taylor, vice-président des solutions de paiement chez Equinox. « Le certificat a été créé en 2004 avec une date d’expiration de 10 ans. »
Taylor a déclaré qu’Equinox travaille maintenant avec des clients, des distributeurs et des partenaires de distribution pour remplacer le certificat afin de remettre les terminaux dans un état opérationnel. L’entreprise pointe les clients concernés qui ont encore besoin d’aide à cette page d’aide sur l’expiration du certificat.
« Beaucoup de ces terminaux ont été mis à jour avec succès sur le terrain », a déclaré Taylor. « Malheureusement, un sous-ensemble d’entre eux ne peut pas être réparé sur le terrain, ce qui signifie qu’ils devront être envoyés à notre centre de réparation. Nous travaillons avec nos clients et nos partenaires de distribution pour localiser ces terminaux et fournirons toute l’assistance possible pour minimiser toute perturbation à la suite de cette affaire.
Selon deux commerçants différents touchés par l’incident qui ont contacté BreachTrace, le maillage de ces terminaux de paiement ne se produit qu’après que les appareils concernés (dans la version 4x des terminaux) ont été rallumés ou redémarrés, ce que certains commerçants font quotidiennement.
Michel Rochettevice-président de Spencer Technologies, une société d’installation et de support technologique basée à Northborough, dans le Massachusetts, a déclaré que son entreprise avait entendu la semaine dernière une chaîne de supermarchés de la côte Est qui avait ouvert ses portes lundi matin pour constater que tous leurs terminaux de paiement ne répondaient pas. Rochette a déclaré que la chaîne de supermarchés et d’autres détaillants touchés par l’incident à travers le pays craignaient immédiatement que l’incident fasse partie d’une attaque de pirates informatiques contre leur infrastructure de paiement.
« Tous les magasins ne s’allument pas du jour au lendemain, mais pour ceux qui le font, ils sont tous vides et inopérants », a déclaré Rochette. « Si c’est quelque chose qu’une chaîne de magasins fait comme politique dans toute une chaîne de magasins, cela peut être assez dommageable. »
Un détaillant qui a contacté BreachTrace mais a demandé à rester anonyme a déclaré que les techniciens de ses sites avaient passé trois jours à essayer sans succès de restaurer les appareils.
« J’utilise deux générations différentes de leurs terminaux et j’ai passé les trois derniers jours à essayer de comprendre complètement pourquoi je n’avais aucun impact », a déclaré un lecteur du détaillant. « L’extinction massive de mes appareils de point de vente au niveau du fabricant n’a jamais figuré sur ma liste de scénarios qui gâcheraient ma journée au détail. C’est maintenant. »
Bien que concevoir vos produits de manière à ce qu’ils échouent après 10 ans semble être une idée moins que brillante, cet incident rappelle à quel point l’infrastructure de paiement aux États-Unis repose sur une technologie qui vieillit rapidement.
Selon Rochette, au moins un des appareils Hypercom concernés n’est plus autorisé à être utilisé dans les installations de vente au détail après 2014, conformément aux dispositions de temporisation établies par le PCI Council, un groupe industriel qui établit des normes de sécurité pour les systèmes de paiement. D’autres modèles Hypercom touchés par cet incident sont parfaitement acceptables pour une utilisation dans les années à venir.
Quant à savoir pourquoi Equinox n’a pas averti ses clients de l’effondrement imminent de ces terminaux de paiement ? Rochette postule que cela pourrait avoir quelque chose à voir avec l’histoire mouvementée de l’entreprise Hypercom.
« Je n’ai jamais vu cela auparavant où un produit particulier s’est écrasé le même jour, et pour autant que je sache, il n’y avait aucun avertissement préalable à ce sujet d’Equinox », a déclaré Rochette. « Au cours des dernières années, ils étaient Hypercom, puis une partie d’Equinox, puis une partie de Verifone pendant un certain temps, donc je soupçonne qu’il y a eu beaucoup de roulement de personnel là-bas, et franchement, ils ont juste perdu de vue le fait qu’ils avaient un date d’expiration assez importante à venir.