Jusqu’à présent, le piratage massif de l’hôtel Marriott entre 2014 et novembre 2018 lui a déjà coûté 3.000.000 de dollars.
Quelle a été la faille dans les données de l’hôtel Marriott fin 2018 ? Cette faille a tout de même impacté près de 400.000.000 de clients et s’est révélée être l’une des brèches en cybersécurité les plus importantes de l’histoire.
5 millions de numéros de passeport non chiffrés et 20 millions de numéros de passeport chiffrés ont pu être piratés par les hackers.
De gros points sont à retenir. Qu’est-ce qui s’est passé ? Pourquoi ? Qui l’a fait ? La faute de Marriott était-elle évitable ?
Le point sur la faille dans les données des hôtels Marriott
Pour commencer, cette brèche est énorme. Selon certaines estimations, c’est la deuxième plus grande de tous les temps, derrière Yahoo et bien devant Equifax.
La brèche a en fait commencé en 2014 et n’a été découverte que le 10 septembre 2018. Au cours des quatre années qui se sont écoulées entre la violation du réseau et sa découverte, environ 500 millions de clients ont fait des réservations en utilisant un système compromis (source).
Leurs données personnelles sont maintenant potentiellement compromises:
- Numéros de passeport
- Informations sur leur compte Starwood Preferred Guest
- Dates de naissance
- Genre
- Noms et prénoms
- Adresses postales
- Numéros de téléphone
- Adresses électroniques
- Dates d’arrivée et de départ
Les entreprises sont souvent réticentes à divulguer des informations sur les violations et les attaques dont elles sont victimes. Elles souhaitent protéger leur réputation, mais cette discrétion ne contribue pas à améliorer l’écosystème de la sécurité.
Chaque attaque est évitable, mais tant que cette discrétion est la règle, il est difficile de tirer les leçons des erreurs passées…
La responsabilité de Marriott
Nous savions que Marriott avait une assurance responsabilité civile en matière de cybersécurité : après la révélation de son piratage, la chaîne hôtelière en avait fait un communiqué officiel. Ce que nous ne savions pas à l’époque, c’est à quel point cette couverture était adéquate.
L’assurance de la chaîne Marriott en matière de cybersécurité est encore en cours d’étude, mais elle est composée d’un patchwork de différentes polices couvrant une multitude de choses.
En mars 2019, Marriott a publié son rapport sur les résultats du 4ème trimestre 2018 et son rapport sur l’ensemble de l’année 2018. A la page 5, il est fait mention des coûts encourus jusqu’à présent.
Au quatrième trimestre 2018, la société a engagé 28 millions de dollars de dépenses et a reconnu 25 millions de dollars de produits d’assurance liés à l’incident de sécurité des données divulgué le 30 novembre 2018.
L’hôtel Marriott semble avoir été en mesure d’utiliser sa police d’assurance pour réduire la plupart de ses coûts.
D’éventuelles poursuites judiciaires
Le problème, ce sont les éventuelles poursuites judiciaires. L’attaque pourrait mettre en évidence une sécurité obsolète ou une mauvaise manipulation dans les systèmes de réservation et les points de vente.
Marriott fait aujourd’hui face à un énorme procès en recours collectif. Son piratage a pu être effectué par l’utilisation d’une attaque de phishing. Cette méthode est relativement rudimentaire mais peut conduire à une infection par des logiciels malveillants et des chevaux de Troie sophistiqués qui permettent aux pirates de télécharger des exploits secondaires à partir de serveurs.
Comme nous l’avons mentionné, le parallèle le plus souvent fait est avec la situation d’Equifax… Mais Equifax était une agence de surveillance de crédits, dont les données étaient sans doute plus lucratives que celles de Marriott.
Cela ne veut pas dire que les données du Marriott n’ont pas de valeur – elles en ont. Mais une partie des données de Marriott est redondente : les mêmes personnes peuvent avoir des entrées multiples dans différentes marques et propriétés de la chaîne.
La mauvaise réaction de Marriott
Malheureusement, les attaques en cybersécurité sont si courantes qu’il faut presque se résigner au fait que ce n’est plus une question de « si » mais de « quand ».
Bien qu’il soit essentiel de maintenir une bonne posture en matière de sécurité, la réaction d’une entreprise à une cyber-attaque est tout aussi importante que la brèche, sinon plus.
La plupart des critiques adressées à Marriott and Starwood ont porté sur sa réaction au piratage et non sur sa compromission.
- Il a fallu quatre ans à la chaîne hôtelière Marriott pour détecter le piratage dont elle était victime.
- L’entreprise a attendu des mois pour révéler le pillage de ses données (le 30 novembre 2018) après l’avoir découvert en septembre.
- Selon toute vraisemblance, ses contrôles de sécurité étaient insuffisants.
Le fait de disposer d’un plan d’intervention avant incident aurait permis de faciliter la réaction et la communication.
Améliorez votre anonymat en ligne
Pensez à l'utilisation d'un VPN : une application VPN va changer votre adresse IP pour simuler celle de n'importe quel pays. Vous pourrez accéder à n'importe quel contenu, même celui qui est géo-restreint. Ce logiciel chiffre aussi votre trafic internet pour éliminer les malwares et les risques de piratage. Pensez à utiliser un gestionnaire de mots de passeTrop de confiance ou pas assez de confiance dans les employés?
Comme nous l’avons mentionné, cette attaque a en fait commencé en 2014 et a été menée pendant plus de 4 ans avant d’être finalement découverte. Aussi effrayant que cela puisse paraître, ce n’est pas un incident isolé.
Ce type de menace « à l’affût » pousse de nombreuses organisations informatiques à repenser la manière dont elles sécurisent leur réseau. Les pirates informatiques sont manifestement organisés et assez patients pour attendre le gros lot.
La confiance zéro
Ce n’est que si ces trois conditions sont remplies que l’utilisateur est autorisé sur le réseau.
D’autres pensent que les employés doivent être mieux informés et formés pour identifier les menaces numériques et y répondre. Les organisations doivent cesser de traiter leur personnel comme s’ils étaient le problème, mais au contraire les considérer comme une première ligne de défense.
- Il faut investir dans une meilleure formation,
- une meilleure gestion des fournisseurs,
- et les données doivent être considérées non comme des propriétés mais plutôt comme des « droits d’accès ».
L’origine du piratage de Marriott : l’État chinois ?
Lors de la violation des données de Marriott, le New York Times et le Washington Post ont rapidement rapporté que des pirates informatiques soutenus par l’État chinois étaient probablement à l’origine de la brèche.
Mais ces dires ressemblent à une resucée de la cyberguerre entre les principales puissances mondiales.
Les États-Unis ont déjà eu une prise de bec médiatisée avec la Russie suite à son ingérence dans les élections présidentielles américaines de 2016. Continuons avec la Chine. Est-ce que cela permet vraiment de voir clair dans la situation de Marriott ?
Les hauts placés vont certainement utiliser cette excuse. Des acteurs soutenus par l’État ou des escrocs privés cherchant à gagner de l’argent : peu importe. Toutes les entreprises, petites ou grandes, sont déjà sous le feu d’une cyberguerre. Ce n’est pas seulement entre les États-Unis et la Chine, c’est entre tous ceux qui ont des données à conserver.
Pourquoi être surpris si des ennemis de la France, tôt ou tard, s’en prennent à notre pays ? C’est inévitable. La question que nous devrions nous poser est la suivante : pourquoi nos entreprises sont-elles encore si peu préparées ?
La difficulté de se protéger des cyber-attaques
Bien qu’il soit difficile pour une entreprise de se protéger contre un piratage durable, il y a une raison pour laquelle ce type d’infraction se répète. De nombreuses entreprises font une cible facile. Pourquoi ? L’état de la cyberdéfense des entreprises en France et dans le monde est au mieux désordonné, au pire globalement médiocre.
Cela ne veut pas dire que certaines entreprises ne dépensent pas beaucoup d’argent pour leur sécurité. Mais souvent, elles les dépensent pour acheter le dernier cyber-outil en vogue plutôt que de se concentrer sur le développement d’une approche globale basée sur le risque.
La gestion des risques devrait passer en premier, car dans l’environnement en nuage qui règne de nos jours, aucune technologie ne peut, à elle seule, isoler nos données.
La chaîne Marriott comme toutes les entreprises doivent augmenter leurs dépenses de sécurité et mieux former leurs employés.
- En tant que société, nous devons nous attendre à ce que nos ennemis utilisent nos données et notre infrastructure pour tenter de saper nos ressources.
- En tant que consommateur, nous devons intégrer le fait que nos données sont exposées.
Visitor Rating: 5 Stars