Marriott International a révélé aujourd’hui que les informations confidentielles de plus de 500 millions de clients du réseau d’hôtels Starwood ont été dérobées.
La brèche concerne les clients ayant séjourné dans un hôtel de la division Starwood : ce groupe racheté par Mariott gère notamment les chaînes d’hôtel Sheraton ou Le Meridien. Encore pourrait-on dire. A chaque fois qu’un tel événement intervient, Encore une fois pourrait-on dire car la liste de ces incidents regrettables devient longue, très longue, trop longue. Est-ce là la conséquence d’une mauvaise gestion des entreprises ou la résultante de failles inhérentes liées à l’économie numérique dans laquelle nous sommes entrés de plain-pied. Elle a donné lieu à de nombreux commentaires de la part des spécialistes de la cybersécurité dont nous diffusons quelques-uns ci-dessous
Pierre-Louis Lussan, Country Manager France, chez Netwrix
Marriott affirme avoir chiffré les données de cartes de crédit de ses clients, mais admet qu’il est possible que les cybercriminels aient pu également mettre la main sur les informations nécessaires pour les déchiffrer ; ce qui indique que les clés de chiffrement étaient stockées sur le même système. C’est une erreur très basique, et qui a des conséquences significatives pour le groupe hôtelier.
De plus, il semblerait que cette faille date de 2014, ce qui laisse entendre que les capacités de détection de l’organisation font défaut. Il est en effet essentiel que les entreprises puissent surveiller le comportement des utilisateurs, détecter les anomalies et mettre fin aux sessions suspectes, et ce en temps réel.
Les organisations qui détiennent de nombreuses données personnelles et financières de leurs clients – dans le cas de Marriott, cela semble inclure les noms, les informations des passeports, les dates de naissance et les données de carte de crédit de 500 millions de personnes – ont le devoir de les protéger. Ils doivent faire leur possible pour éviter que des vulnérabilités élémentaires mettent leurs clients en danger.
Le groupe Marriott vient de révéler une gigantesque faille de données qui concernerait près de 500 millions de ses clients, du jamais vu depuis le célèbre cas de Yahoo!
Grégory Cardiet, expert sur les questions de cybersécurité, chez Vectra, spécialiste de la détection des menaces grâce à l’intelligence artificielle
Les auteurs de cette faille se sont constitué un véritable trésor d’informations personnelles ! Sans aucun doute, cela va fortement nuire aux marques Marriott Starwood, surtout sur la confiance accordée aux hôtels du groupe par les clients affectés par la faille.
De plus, si les dates sont avérées, entre la date de détection initiale, soit le 8 septembre 2018, et la divulgation publique de la faille, l’exigence de notification du RGPD de 72h a été très loin d’être respectée. Conformément au Règlement, la marque s’expose également à une très forte amende… La fameuse double-peine du RGPD.
En ce qui concerne la faille elle-même, le fait d’exfiltrer des données protégées par chiffrement, est le signe d’une tentative visant à contourner les contrôles de sécurité tels que les systèmes de prévention des pertes de données (DLP). Disposer de systèmes surveillant les comportements d’exfiltration plutôt que d’essayer d’inspecter les charges utiles des données peut constituer un moyen de relever ce défi. On ne sait pas encore exactement quel outil a signalé l’attaque, mais il est raisonnable de croire, d’après les éléments publiés, que la faille a été détectée tard dans le cycle de vie de l’attaque. Les attaquants doivent généralement avancer lentement et par étapes pour gagner des privilèges par exemple, et adopter plusieurs comportements avant de pouvoir accéder aux données recherchées, les exfiltrer, ou encore commencer à effacer leurs traces et comportements. Par conséquent, la détection de ces comportements à un stade précoce est essentielle.
Cette faille démontre également que la réponse à incident continue de prendre trop de temps et, dans de nombreux cas, les équipes de sécurité essaient de comprendre « ce qui vient de se passer et comment empêcher que cela ne se reproduise » plutôt que de repérer, comprendre et bloquer un attaquant plus tôt dans son cycle d’attaque pour minimiser ou stopper une faille. De même, la détection manuelle des menaces et l’investigation prennent trop de temps, et nous devons trouver des moyens de réduire ce délai. C’est là que l’automatisation de certaines tâches, souvent alimentée par l’intelligence artificielle, peut réduire considérablement le bruit généré par les alertes, et des informations sans rapport que les analystes doivent parcourir pour se faire une idée. De cette façon, les analystes et analystes Forensics, peuvent se doter d’outils automatisés qui leur permettent d’agir avec une rapidité et une efficacité que les humains ne peuvent tout simplement pas atteindre seuls.
Luis Corrons, Security researcher, chez Avast
Les chaînes hôtelières sont depuis des années la cible de groupes de cybercriminels, car elles détiennent des informations très précieuses au sujet de leurs clients, incluant leurs informations personnelles et bancaires. Elles sont également la cible d’attaques sur leurs terminaux POS (Point of Sale).
Toutes les grandes chaînes hôtelières ont été attaquées au cours des trois dernières années, même si toutes n’ont pas signalé ces compromissions ; le RGPD les oblige cependant désormais à révéler les violations de données dans les 72 heures.
Dans le cadre de la cyberattaque des hôtels Marriott, des données telles que le numéro de passeport, la date de naissance, le sexe, les dates d’enregistrement et les coordonnées bancaires des clients sont susceptibles d’avoir été volées. L’ensemble de ces données dépeint un portrait clair de leurs propriétaires, et peuvent de ce fait avoir des implications plus vastes. Par exemple, les dates d’enregistrement peuvent aider un cybercriminel à déterminer si la propriété de la personne concernée est laissée sans surveillance, dans l’optique d’un cambriolage. Bien que Marriott affirme que les informations ont été chiffrées après leur copie, nous ne pouvons pas savoir de manière sûre s’il y a un risque que ces données soient toujours exposées.
Par conséquent, nous recommandons vivement aux clients ayant résidé dans un hôtel Marriott par le passé de prendre les mesures suivantes :
– Informer sa banque. Les clients qui pensent être concernés doivent contacter leur banque ou leur fournisseur de carte de crédit pour leur demander des conseils. Ils doivent également veiller à surveiller toutes les transactions suspectes qui pourraient survenir sur leurs comptes.
– Changer le mot de passe de son compte Marriott. Si ce mot de passe a été utilisé pour d’autres comptes, tels que des adresses de messagerie, il est également nécessaire de les modifier pour chacun d’entre eux. Un gestionnaire de mots de passe peut aider à gérer facilement plusieurs mots de passe pour plusieurs comptes et sites internet.
– Rester vigilant quant aux e-mails suspects contenant des liens ou des pièces jointes. En cliquant sur l’adresse électronique de l’expéditeur, il est facile de vérifier sa légitimité. En cas de doute, ne jamais cliquer.
– Si l’un de ces e-mails semble provenir de la banque de l’utilisateur, et l’invite à cliquer sur un lien et à compléter ses informations personnelles, il est probable qu’il s’agisse d’un email frauduleux. Il est alors recommandé d’ouvrir une nouvelle page internet dans le navigateur et de se rendre sur la page habituelle de sa banque pour accéder à son compte.
– Avoir un antivirus à jour empêchera le téléchargement de liens de phishing ou d’e-mails de spam dans la boîte de réception.
– Rester vigilant vis-à-vis du démarchage téléphonique. N’accepter aucun paiement par téléphone pour des services inhabituels ou inattendus – les assurances ou les réparations des ordinateurs sont un thème commun utilisé par les cybercriminels – ne doit être autorisé. »
François Baraër, Ingénieur Avant-Vente, Cylance
L’annonce de la faille de données concernant plus de 500 millions de clients des hôtels Marriott fait l’effet d’une bombe. Du jamais vu depuis Yahoo! Il est difficile de prédire l’impact de cette faille, aussi géante soit-elle. A court terme, il est certain que l’impact sur l’image du groupe sera fort. Même les cas récents nous ont démontré que face à la multiplication des alertes, cet effet s’estompe assez vite. Une nouvelle journée, une nouvelle faille géante, pourrions-nous dire… Cela devient malheureusement notre quotidien.
Dans la communication du groupe, il n’est pas fait mention de potentiel auteur de cette faille, mais avoir mis en place un accès au réseau du groupe et surtout l’avoir conservé pendant plus de 4 ans sans avoir été détecté, c’est là un réel exploit. Une entreprise de la dimension de Marriott Starwood dispose d’une infrastructure informatique importante, qui doit être entretenue et qui suppose que le matériel informatique est également régulièrement mis à jour et remplacé. Les attaquants ont donc dû investir beaucoup pour maintenir leurs accès et portes dérobées ! Il ne s’agit donc pas d’une petite attaque non préparée.
Par ailleurs, les données de réservation de voyage, surtout pour une clientèle haut de gamme, peuvent avoir une valeur intéressante, notamment pour des activités de contre-espionnage. L’analyse graphique des personnes ciblées et de leurs habitudes de déplacement permet de révéler des lieux « intéressants » inconnus jusqu’à présent. Les clients touchés par cette faille devraient rapidement mettre en place des actions, comme si leur identité avait déjà été dérobée.
Julien Cassignol, Architecte solutions IAM et PAM, One Identity
Marriott Starwood estime que plus de 500 millions de ses clients ont été exposés. L’atteinte à l’intégrité d’une information est évidemment inquiétante, mais notons qu’il existe différents degrés de gravité selon les types de renseignements piratés. Par exemple, Marriott estime qu’environ 327 millions de clients sont concernés par la compromission de leur numéro de téléphone et leur adresse mail. Même si cela peut poser des problèmes, ce ne sont clairement pas les informations les plus sensibles. Des millions voire des milliards de données de ce type sont dans la nature aujourd’hui, en vente sur le darkweb, etc.
A l’inverse, la compromission de données de cartes bancaires est déjà plus problématique. Il est certes possible de bloquer sa carte de crédit et d’en demander une autre, mais les données ayant été exposées déjà depuis plusieurs mois, et les clients doivent donc être attentifs à l’historique de leurs comptes… Enfin les données de passeport présentent le plus de risques. Obtenir un nouveau passeport n’est pas aisé, et il n’est pas possible de désactiver un passeport. Il va être intéressant de voir comment Marriott va communiquer et accompagner ses clients avec les conseils appropriés.