Marriott victime d’une gigantesque faille de données personnelles

1
127

Le groupe Marriott vient de révéler une gigantesque faille de données qui concernerait près de 500 millions de ses clients (réseau d’hôtels Starwood), du jamais vu depuis le célèbre cas de Yahoo!

Tribune par Grégory Cardiet, expert sur les questions de cybersécurité, Ingénieur Avant-Ventes chez Vectra, spécialiste de la détection des menaces grâce à l’intelligence artificielle ainsi que de Luis Corrons, Security researcher, chez Avast.

« Les auteurs de cette faille se sont constitués un véritable trésor d’informations personnelles ! Sans aucun doute, cela va fortement nuire aux marques Marriott Starwood, surtout sur la confiance accordée aux hôtels du groupe par les clients affectés par la faille.

De plus, si les dates sont avérées, entre la date de détection initiale, soit le 8 septembre 2018, et la divulgation publique de la faille, l’exigence de notification du RGPD de 72h a été très loin d’être respectée. Conformément au Règlement, la marque s’expose également à une très forte amende… La fameuse double-peine du RGPD. 

En ce qui concerne la faille elle-même, le fait d’exfiltrer des données protégées par chiffrement, est le signe d’une tentative visant à contourner les contrôles de sécurité tels que les systèmes de prévention des pertes de données (DLP). Disposer de systèmes surveillant les comportements d’exfiltration plutôt que d’essayer d’inspecter les charges utiles des données peut constituer un moyen de relever ce défi. On ne sait pas encore exactement quel outil a signalé l’attaque, mais il est raisonnable de croire, d’après les éléments publiés, que la faille a été détectée tard dans le cycle de vie de l’attaque. Les attaquants doivent généralement avancer lentement et par étapes pour gagner des privilèges par exemple, et adopter plusieurs comportements avant de pouvoir accéder aux données recherchées, les exfiltrer, ou encore commencer à effacer leurs traces et comportements. Par conséquent, la détection de ces comportements à un stade précoce est essentielle.

Cette faille démontre également que la réponse à incident continue de prendre trop de temps et, dans de nombreux cas, les équipes de sécurité essaient de comprendre « ce qui vient de se passer et comment empêcher que cela ne se reproduise » plutôt que de repérer, comprendre et bloquer un attaquant plus tôt dans son cycle d’attaque pour minimiser ou stopper une faille. De même, la détection manuelle des menaces et l’investigation prennent trop de temps, et nous devons trouver des moyens de réduire ce délai. C’est là que l’automatisation de certaines tâches, souvent alimentée par l’intelligence artificielle, peut réduire considérablement le bruit généré par les alertes, et des informations sans rapport que les analystes doivent parcourir pour se faire une idée. De cette façon, les analystes et analystes Forensics, peuvent se doter d’outils automatisés qui leur permettent d’agir avec une rapidité et une efficacité que les humains ne peuvent tout simplement pas atteindre seuls ».

Pour Luis Corrons, Security researcher, chez Avast, les chaînes hôtelières sont depuis des années la cible de groupes de cybercriminels, car elles détiennent des informations très précieuses au sujet de leurs clients, incluant leurs informations personnelles et bancaires. Elles sont également la cible d’attaques sur leurs terminaux POS (Point of Sale).

Toutes les grandes chaînes hôtelières ont été attaquées au cours des trois dernières années, même si toutes n’ont pas signalé ces compromissions ; le RGPD les oblige cependant désormais à révéler les violations de données dans les 72 heures.

Dans le cadre de la cyberattaque des hôtels Marriott, des données telles que le numéro de passeport, la date de naissance, le sexe, les dates d’enregistrement et les coordonnées bancaires des clients sont susceptibles d’avoir été volées. L’ensemble de ces données dépeint un portrait clair de leurs propriétaires, et peuvent de ce fait avoir des implications plus vastes. Par exemple, les dates d’enregistrement peuvent aider un cybercriminel à déterminer si la propriété de la personne concernée est laissée sans surveillance, dans l’optique d’un cambriolage. Bien que Marriott affirme que les informations ont été chiffrées après leur copie, nous ne pouvons pas savoir de manière sûre s’il y a un risque que ces données soient toujours exposées.

Par conséquent, nous recommandons vivement aux clients ayant résidé dans un hôtel Marriott par le passé de prendre les mesures suivantes :

  • Informer sa banque. Les clients qui pensent être concernés doivent contacter leur banque ou leur fournisseur de carte de crédit pour leur demander des conseils. Ils doivent également veiller à surveiller toutes les transactions suspectes qui pourraient survenir sur leurs comptes.
  • Changer le mot de passe de son compte Marriott. Si ce mot de passe a été utilisé pour d’autres comptes, tels que des adresses de messagerie, il est également nécessaire de les modifier pour chacun d’entre eux. Un gestionnaire de mots de passe peut aider à gérer facilement plusieurs mots de passe pour plusieurs comptes et sites internet.
  • Rester vigilant quant aux e-mails suspects contenant des liens ou des pièces jointes. En cliquant sur l’adresse électronique de l’expéditeur, il est facile de vérifier sa légitimité. En cas de doute, ne jamais cliquer.
  • Si l’un de ces e-mails semble provenir de la banque de l’utilisateur, et l’invite à cliquer sur un lien et à compléter ses informations personnelles, il est probable qu’il s’agisse d’un email frauduleux. Il est alors recommandé d’ouvrir une nouvelle page internet dans le navigateur et de se rendre sur la page habituelle de sa banque pour accéder à son compte.
  • Avoir un antivirus à jour empêchera le téléchargement de liens de phishing ou d’e-mails de spam dans la boîte de réception.
  • Rester vigilant vis-à-vis du démarchage téléphonique. N’accepter aucun paiement par téléphone pour des services inhabituels ou inattendus – les assurances ou les réparations des ordinateurs sont un thème commun utilisé par les cybercriminels – ne doit être autorisé.

Commentaires annexes d’autres experts :

François Baraër, Ingénieur Avant-Vente Europe du Sud chez Cylance :

L’annonce de la faille de données concernant plus de 500 millions de clients des hôtels Marriott fait l’effet d’une bombe. Du jamais vu depuis Yahoo! Il est difficile de prédire l’impact de cette faille, aussi géante soit-elle. A court terme, il est certain que l’impact sur l’image du groupe sera fort. Même les cas récents nous ont démontré que face à la multiplication des alertes, cet effet s’estompe assez vite. Une nouvelle journée, une nouvelle faille géante, pourrions-nous dire… Cela devient malheureusement notre quotidien.

Dans la communication du groupe, il n’est pas fait mention de potentiel auteur de cette faille, mais avoir mis en place un accès au réseau du groupe et surtout l’avoir conservé pendant plus de 4 ans sans avoir été détecté, c’est là un réel exploit. Une entreprise de la dimension de Marriott Starwood dispose d’une infrastructure informatique importante, qui doit être entretenue et qui suppose que le matériel informatique est également régulièrement mis à jour et remplacé. Les attaquants ont donc dû investir beaucoup pour maintenir leurs accès et portes dérobées ! Il ne s’agit donc pas d’une petite attaque non préparée.

Par ailleurs, les données de réservation de voyage, surtout pour une clientèle haut de gamme, peuvent avoir une valeur intéressante, notamment pour des activités de contre-espionnage. L’analyse graphique des personnes ciblées et de leurs habitudes de déplacement permet de révéler des lieux « intéressants » inconnus jusqu’à présent. Les clients touchés par cette faille devraient rapidement mettre en place des actions, comme si leur identité avait déjà été dérobée. 

Julien Cassignol, Architecte solutions IAM et PAM chez One Identity :  

Marriott Starwood estime que plus de 500 millions de ses clients ont été exposés. L’atteinte à l’intégrité d’une information est évidemment inquiétante, mais notons qu’il existe différents degrés de gravité selon les types de renseignements piratés. Par exemple, Marriott estime qu’environ 327 millions de clients sont concernés par la compromission de leur numéro de téléphone et leur adresse mail. Même si cela peut poser des problèmes, ce ne sont clairement pas les informations les plus sensibles. Des millions voire des milliards de données de ce type sont dans la nature aujourd’hui, en vente sur le darkweb, etc.

A l’inverse, la compromission de données de cartes bancaires est déjà plus problématique. Il est certes possible de bloquer sa carte de crédit et d’en demander une autre, mais les données ayant été exposées déjà depuis plusieurs mois, et les clients doivent donc être attentifs à l’historique de leurs comptes… Enfin les données de passeport présentent le plus de risques. Obtenir un nouveau passeport n’est pas aisé, et il n’est pas possible de désactiver un passeport. Il va être intéressant de voir comment Marriott va communiquer et accompagner ses clients avec les conseils appropriés.

Guillaume Garbey, Directeur France de Varonis :

Comme dans le cas de la faille d’Equifax l’an passé, les pirates se sont emparés d’informations sensibles non-modifiables : noms, numéros de passeport, dates de naissance etc. Aujourd’hui, plus de 500 million de personnes vont devoir surveiller leurs historiques de comptes bancaires, sans compter le risque d’être impactés tout au long de leur vie, par des usurpations d’identité, des tentatives d’escroqueries par mail (phishing) dans les mois et les années à venir en raison de la nature très personnelle des informations volées, etc. Ce type de failles n’est donc pas sans conséquence pour les victimes.

Il est incroyable d’imaginer qu’à notre époque où les failles se multiplient au point de devenir quasi quotidiennes, les grandes marques ne parviennent pas à protéger ce qui compte le plus : les données personnelles de leurs clients, alors qu’elles dépensent des millions en publicité. Ce qui justifie que les clients continuent de se méfier et d’exiger des règlements comme le RGPD ou encore très récemment le California Consumer Privacy Act aux Etats-Unis.

1 COMMENTAIRE

  1. Une double peine ? Quelle double peine ? Tu as un accident avec un taux d’alcolémie positive, bien sûr que tu as une amende. Et si tu ne le signales pas, cela s’appelle du délit de fuite. Donc non, il n’y a pas de double peine. Tu fais une connerie, tu le dis, et t’assumes la sanction éventuelle. C’est ce qu’on demande à nos enfants …

Les commentaires sont fermés.