Cette enquête du "Monde Informatique" du jour, sur un piratage informatique réalisé chez Marriott, et qui met en cause le gouvernement chinois, est absolument passionnante (et pour une fois dans la presse, très réaliste sur le plan technique) :
Fin 2018, la chaîne hôtelière Marriott a annoncé que l'un de
ses systèmes de réservation avait été compromis. Des centaines de millions de
dossiers de clients, comprenant les numéros de cartes de crédit et de
passeports, ont été aspirés par les pirates. Nos confrères d'IDG reviennent sur
cet incident de sécurité.
Le 8 septembre 2018, un outil de sécurité interne de la
chaîne hôtelière Marriott signale une tentative suspecte d'accès à la base de
données interne des réservations clients des marques Starwood de Marriott, qui
comprennent les hôtels Westin, Sheraton, St. Regis et W. S'en est suivi une
enquête interne, soutenue par une action judiciairen qui a permis de
déterminer, que le réseau Starwood avait été compromis en 2014 – à l'époque où
ce groupe était une société distincte. Marriott a acheté Starwood en 2016, mais
près de deux ans plus tard, les anciens hôtels Starwood n'avaient pas été
migrés vers le système de réservation de Marriott et utilisaient toujours son
infrastructure informatique.
Au cours de son enquête, Marriott a trouvé des données que
les attaquants avaient chiffré et tenté – sans doute avec succès – de supprimer
des systèmes Starwood. En novembre, le groupe avait réussi à déchiffrer ces
données et découvert qu'elles comprenaient des renseignements provenant d'un
maximum de 500 millions de dossiers clients, avec des doublons ou des dossiers
multiples. Bon nombre de ces documents contenaient des renseignements
extrêmement sensibles comme les numéros de cartes de crédit et de passeports.
Conscient de la gravité de la brèche, Marriott a publié un communiqué le 30
novembre 2018.
Quelle est la cause de cette faille de sécurité ?
Marriott n'a pas rendu publics de nombreux détails de
l'attaque, il est donc impossible de dire avec certitude quelle vulnérabilité
ou erreur a été la cause directe de l'incident. Le CEO de Marriott, Arne
Sorenson, a comparu devant le Sénat américain pour parler de l'attaque, et la
transcription de son témoignage apporte tout de même quelques précisions.
L'outil de sécurité qui a signalé la requête inhabituelle était en fait
supervisé par Accenture, qui dirigeait l'informatique et l'infosécurité pour
Starwood avant la fusion et continuait de le faire pour l'ancien réseau. La
requête sur la base de données a été effectuée par un utilisateur ayant des
privilèges d'administrateur, mais l'analyse a rapidement révélé que la personne
à qui ce compte renvoyait n'était pas celle qui avait effectué la requête. En
d'autres termes, quelqu'un d'autre avait réussi à prendre le contrôle du
compte.
Les enquêteurs ont commencé à fouiller le système à la
recherche d'indices et ont découvert un cheval de Troie d'accès à distance
(RAT) ainsi que MimiKatz, un outil permettant de repérer les combinaisons nom
d'utilisateur/mot de passe dans la mémoire système. Ensemble, ces deux outils
auraient pu donner aux pirates le contrôle du compte administrateur. On ne sait
pas clairement comment le RAT a été placé sur le serveur Starwood, mais de tels
trojan sont souvent téléchargés à partir de courriels de phishing.
Mais derrière ces vecteurs d'attaque spécifiques se cache
une série de facteurs culturels et commerciaux qui peuvent également expliquer
cette faille. Car le pire ici n'est pas le succès de l'attaque des systèmes
Starwood – la plupart des experts en sécurité indiquent qu'il est presque
impossible d’éviter toutes les attaques tout le temps. Le plus inquiétant est
que l'attaque n'ait pas été détectée pendant quatre ans. Starwood ne disposait
pas la meilleure culture de sécurité avant son acquisition par Marriott. Le
Wall Street Journal a rapporté que les employés de Starwood trouvaient toujours
le système de réservation difficile à sécuriser. D’ailleurs, une attaque
différente s’est produite sur le même système en 2015 et n'a été détecté que
huit mois après. Puis, après l'acquisition de Starwood par Marriott en
septembre 2016, la plupart des employés de Starwood, y compris ceux qui gèrent
l’IT et la sécurité, ont été mis à pied. Ce genre de réduction de la masse
salariale sont attendus dans ce genre de fusions, bien sûr, mais Marriott était
loin d'être prête à supporter les réservations clients dans les milliers
d'hôtels nouvellement acquis avec son propre système interne. D’où le maintien
de l'ancien système Starwood pendant deux autres années avant de découvrir le
ver dans la pomme.
Quel a été l'impact de cette faille ?
En un mot, catastrophique au premier abord. Des centaines de
millions de personnes se sont fait voler leur passeport et leur numéro de carte
de crédit, ce qui pourrait avoir des conséquences personnelles désastreuses. Le
pire étant que les vols de numéros de carte de crédit ont été rendus possibles
par une autre faille de sécurité chez Marriott. Alors que les numéros de carte
de crédit étaient chiffrés avant d’être stockés, les clés de chiffrement
étaient enregistrées sur le même serveur, et ont donc pu être apparemment
récupérées lors du piratage. Quant aux numéros de passeport, bien que certains
aient été cryptés, la majorité d'entre eux étaient sauvegardés en clair.
Cependant la faille ne semble pas avoir eu l'impact préjudiciable qu'elle
aurait pu avoir sur les clients de Starwood. Pour comprendre pourquoi, il faut
savoir qui se cache derrière l’attaque et leurs motivations.
Qui a piraté Marriott et pourquoi ?
Même si l'attribution est toujours un exercice difficile, un
vol massif de données de consommateurs est souvent associé à des cybercriminels
souhaitant usurper une identité ou utiliser des numéros de carte de crédit
volés. Mais en décembre 2018, des articles du New York Times et du Washington
Post, citant des sources anonymes du gouvernement américain, ont montré du
doigt une toute autre direction : des pirates informatiques employés par les
services de renseignement chinois.
Les sources du Post et du Times ont eu accès à plus de
données sur le piratage autre que celles rendues publiques et affirment que le
code et les modèles d'attaque utilisés correspondent aux techniques employées
par les pirates chinois parrainés par l'État. Les attaquants ont utilisé un
espace d'hébergement dans le cloud fréquemment utilisé par les pirates chinois,
par exemple. L'implication du service de renseignement américain dans l'enquête
et le caractère sensible de l'attentat expliquent d’ailleurs probablement
pourquoi peu de détails techniques ont été rendus publics. Un autre indice est
le fait qu'aucun de ces millions de documents sensibles n'a fini sur le
darkweb. Il ne s'agissait pas d'une simple opération de pillage.
Quelle serait la motivation de l'attaque, alors ? Les
sources gouvernementales spéculent qu'elle s'inscrivait dans le cadre d'un
effort chinois plus vaste visant à acquérir des quantités massives de données
sur les employés du gouvernement américain et les agents de renseignement.
Marriott est le principal fournisseur hôtelier du gouvernement et de l'armée
américaine. Les numéros de passeport volés, en particulier, pourraient être
utilisés pour suivre les déplacements de ces personnes dans le monde entier. La
violation des systèmes du Bureau de la gestion du personnel faisait
probablement partie de la même campagne. Les données de millions de personnes
ont été volées mais aucune d’entre elles ne se sont retrouvées sur le darkweb
ou ont été utilisées à des fins frauduleuses. L'objectif à long terme serait de
créer un lac de données sur les employés et agents du gouvernement américain et
de les analyser grâce à des techniques de big data.
Autre piste, rétrospectivement, Marriott a dû, de façon
quelque peu suspecte, repousser une offre d'Anbang, une société chinoise, au
moment du rachat de Starwood. On pourrait penser à une représailles mais,
lorsque tout cela s'est produit en 2016, les pirates étaient déjà entrés dans
les systèmes de Starwood, alors il s’agit peut-être d’une coïncidence.
Comment Marriott a-t-il réagi à cette brèche ?
Peut-être parce qu'il ne semble pas y avoir de menace
immédiate sur l’utilisation frauduleuse des données volées, Marriott n'a pas
fait tout son possible pour indemniser les clients qui ont été volés. Le New
York Times cite un porte-parole de Marriott affirmant que l'entreprise paierait
le coût de remplacement d'un passeport avec un nouveau numéro ou couvrirait les
frais de carte de crédit « s'il y a eu fraude ». Bien que les dommages
potentiels causés par les données personnelles stockées chez les renseignements
chinois soient en théorie importants, il est difficile de les quantifier,
surtout pour chaque individu.
Y a-t-il un recours collectif pour atteinte à la protection
des données dans l'affaire Marriott ?
Bien sûr, ce n'est qu'un bien piètre réconfort si vous êtes
l'une des personnes touchées et, en fait, les clients de Marriott et de
Starwood ne prennent pas les choses à la légère. De multiples recours collectifs
ont déjà été intentés, et le défaut de Marriott de faire preuve de diligence
raisonnable à l'égard de la sécurité de l'information de Starwood (ou l'absence
de celle-ci) a été spécifiquement mis en évidence dans les documents
judiciaires par les plaignants. Accenture, la société de conseil à laquelle
Starwood (et par la suite Marriott) avait confié une grande partie de ses
opérations informatiques quotidiennes, est également poursuivie dans le cadre
du même procès.
Cependant, il ne faut pas compter sur ces plaintes
d'atteinte à la protection des données de Marriott pour obtenir une grosse
somme d'argent. Consumer Reports donne plus de détails sur les clients qui
seront automatiquement inclus dans le recours collectif et sur la façon dont il
est possible de s’en exclure ; et prédit que toute compensation aux individus
sera modeste.
Combien a coûté cette faille ?
En mars 2019, Marriott avait engagé des dépenses de 28
millions de dollars liées à une atteinte à la sécurité des renseignements
personnels, ce qui n'a fait baisser que de 3 millions de dollars ses résultats
nets. En mai, l'entreprise avait réduit ses pertes à seulement un million de
dollars. Comment ? La cyberassurance, qui a couvert une grande partie des coûts
initiaux associés à la crise. L'assurance contre les cyberattaques est une
offre relativement nouvelle, mais elle semble avoir été bien utile à Marriott.
Mais ces coûts initiaux ne sont qu’un début. Nos confrères
de ZDnet a estimé qu'entre les coûts directs et les pertes indirectes causées par
la perte de clients à l'égard de l'entreprise à l'avenir, Marriott pourrait
perdre des milliards de dollars en revenus à la suite de la violation.
Marriott a-t-il été condamné à une amende pour atteinte à la
protection des données ?
En juillet 2019, un coup beaucoup plus dur est porté à
l'entreprise. L'Information Commissioner's Office (ICO) du Royaume-Uni a imposé
une amende de 99 millions de livres sterling pour violation du droit à la vie
privée des citoyens britanniques dans le cadre du RGPD. Une fois de plus, l'ICO
a spécifiquement cité le fait que Marriott n'a pas fait preuve de diligence
raisonnable à l'égard de l'infrastructure IT de Starwood pour expliquer cette
décision. L'amende massive n'est peut-être qu'un début, car d'autres
juridictions pourraient également chercher à punir l'entreprise pour ses
manquements.
Qu’apprendre des erreurs de Marriott ?
Starwood et Marriott étaient coupables de manquements
élémentaires en matière de sécurité : une absence de défense en profondeur qui
a permis aux attaquants de rester dans le système pendant des années après
l'avoir compromis, par exemple, et la non-conservation des données chiffrées
séparément de leurs clés de sécurité. Marriott n'a pas suivi la règle la plus
importante en matière de cybersécurité : supposer que son système était
compromis et agir en conséquence.
La transition cahoteuse après à la fusion Marriott-Starwood
– le licenciement du personnel informatique de Starwood et la longue période
pendant laquelle les anciens systèmes de Starwood ont été maintenus – a aggravé
le problème. La lourde amende infligée par le Royaume-Uni laisse entendre que
les autorités de réglementation tiendront les entreprises pour responsables de
ce genre de questions après une fusion.
Les données sur les voyages sont riches en informations qui
peuvent donner un aperçu des modes de vie, des goûts et des relations des
individus, mais l'industrie du voyage est loin derrière des secteurs comme les
banques en ce qui concerne la cybersécurité et doit rattraper son retard
maintenant. Enfin, le piratage a montré que même des particuliers peuvent
devenir des dommages collatéraux dans le monde de l'espionnage gouvernemental.
Quelle est l’arnaque qui pourrait se produire derrière
l’attaque ?
Une escroquerie courante à la suite d'infractions aussi
graves prend la forme de courriels d'hameçonnage prétendant provenir de
l'entreprise concernée, et vous demandant de réinitialiser votre mot de passe
et ainsi remettre vos identifiants de connexion. Soyez très vigilant et à
l'affût d'escroqueries de ce genre. Marriott n'a pas aidé les choses en
publiant du matériel lié à la brèche sur des sites web avec une variété
déconcertante d'URL…
Article rédigé par Josh Fruhlinger, CSO (adapté par Nicolas
Certes)