Le 8 septembre 2018, un outil de sécurité interne de la chaîne hôtelière Marriott signale une tentative suspecte d'accès à la base de données interne des réservations clients des marques Starwood de Marriott, qui comprennent les hôtels Westin, Sheraton, St. Regis et W. S'en est suivi une enquête interne, soutenue par une action judiciairen qui a permis de déterminer, que le réseau Starwood avait été compromis en 2014 – à l'époque où ce groupe était une société distincte. Marriott a acheté Starwood en 2016, mais près de deux ans plus tard, les anciens hôtels Starwood n'avaient pas été migrés vers le système de réservation de Marriott et utilisaient toujours son infrastructure informatique.

Au cours de son enquête, Marriott a trouvé des données que les attaquants avaient chiffré et tenté – sans doute avec succès – de supprimer des systèmes Starwood. En novembre, le groupe avait réussi à déchiffrer ces données et découvert qu'elles comprenaient des renseignements provenant d'un maximum de 500 millions de dossiers clients, avec des doublons ou des dossiers multiples. Bon nombre de ces documents contenaient des renseignements extrêmement sensibles comme les numéros de cartes de crédit et de passeports. Conscient de la gravité de la brèche, Marriott a publié un communiqué le 30 novembre 2018.

Quelle est la cause de cette faille de sécurité ?

Marriott n'a pas rendu publics de nombreux détails de l'attaque, il est donc impossible de dire avec certitude quelle vulnérabilité ou erreur a été la cause directe de l'incident. Le CEO de Marriott, Arne Sorenson, a comparu devant le Sénat américain pour parler de l'attaque, et la transcription de son témoignage apporte tout de même quelques précisions. L'outil de sécurité qui a signalé la requête inhabituelle était en fait supervisé par Accenture, qui dirigeait l'informatique et l'infosécurité pour Starwood avant la fusion et continuait de le faire pour l'ancien réseau. La requête sur la base de données a été effectuée par un utilisateur ayant des privilèges d'administrateur, mais l'analyse a rapidement révélé que la personne à qui ce compte renvoyait n'était pas celle qui avait effectué la requête. En d'autres termes, quelqu'un d'autre avait réussi à prendre le contrôle du compte.

Les enquêteurs ont commencé à fouiller le système à la recherche d'indices et ont découvert un cheval de Troie d'accès à distance (RAT) ainsi que MimiKatz, un outil permettant de repérer les combinaisons nom d'utilisateur/mot de passe dans la mémoire système. Ensemble, ces deux outils auraient pu donner aux pirates le contrôle du compte administrateur. On ne sait pas clairement comment le RAT a été placé sur le serveur Starwood, mais de tels trojan sont souvent téléchargés à partir de courriels de phishing.

Mais derrière ces vecteurs d'attaque spécifiques se cache une série de facteurs culturels et commerciaux qui peuvent également expliquer cette faille. Car le pire ici n'est pas le succès de l'attaque des systèmes Starwood – la plupart des experts en sécurité indiquent qu'il est presque impossible d’éviter toutes les attaques tout le temps. Le plus inquiétant est que l'attaque n'ait pas été détectée pendant quatre ans. Starwood ne disposait pas la meilleure culture de sécurité avant son acquisition par Marriott. Le Wall Street Journal a rapporté que les employés de Starwood trouvaient toujours le système de réservation difficile à sécuriser. D’ailleurs, une attaque différente s’est produite sur le même système en 2015 et n'a été détecté que huit mois après. Puis, après l'acquisition de Starwood par Marriott en septembre 2016, la plupart des employés de Starwood, y compris ceux qui gèrent l’IT et la sécurité, ont été mis à pied. Ce genre de réduction de la masse salariale sont attendus dans ce genre de fusions, bien sûr, mais Marriott était loin d'être prête à supporter les réservations clients dans les milliers d'hôtels nouvellement acquis avec son propre système interne. D’où le maintien de l'ancien système Starwood pendant deux autres années avant de découvrir le ver dans la pomme.

Quel a été l'impact de cette faille ?

En un mot, catastrophique au premier abord. Des centaines de millions de personnes se sont fait voler leur passeport et leur numéro de carte de crédit, ce qui pourrait avoir des conséquences personnelles désastreuses. Le pire étant que les vols de numéros de carte de crédit ont été rendus possibles par une autre faille de sécurité chez Marriott. Alors que les numéros de carte de crédit étaient chiffrés avant d’être stockés, les clés de chiffrement étaient enregistrées sur le même serveur, et ont donc pu être apparemment récupérées lors du piratage. Quant aux numéros de passeport, bien que certains aient été cryptés, la majorité d'entre eux étaient sauvegardés en clair. Cependant la faille ne semble pas avoir eu l'impact préjudiciable qu'elle aurait pu avoir sur les clients de Starwood. Pour comprendre pourquoi, il faut savoir qui se cache derrière l’attaque et leurs motivations.

Qui a piraté Marriott et pourquoi ?

Même si l'attribution est toujours un exercice difficile, un vol massif de données de consommateurs est souvent associé à des cybercriminels souhaitant usurper une identité ou utiliser des numéros de carte de crédit volés. Mais en décembre 2018, des articles du New York Times et du Washington Post, citant des sources anonymes du gouvernement américain, ont montré du doigt une toute autre direction : des pirates informatiques employés par les services de renseignement chinois.

Les sources du Post et du Times ont eu accès à plus de données sur le piratage autre que celles rendues publiques et affirment que le code et les modèles d'attaque utilisés correspondent aux techniques employées par les pirates chinois parrainés par l'État. Les attaquants ont utilisé un espace d'hébergement dans le cloud fréquemment utilisé par les pirates chinois, par exemple. L'implication du service de renseignement américain dans l'enquête et le caractère sensible de l'attentat expliquent d’ailleurs probablement pourquoi peu de détails techniques ont été rendus publics. Un autre indice est le fait qu'aucun de ces millions de documents sensibles n'a fini sur le darkweb. Il ne s'agissait pas d'une simple opération de pillage.

Quelle serait la motivation de l'attaque, alors ? Les sources gouvernementales spéculent qu'elle s'inscrivait dans le cadre d'un effort chinois plus vaste visant à acquérir des quantités massives de données sur les employés du gouvernement américain et les agents de renseignement. Marriott est le principal fournisseur hôtelier du gouvernement et de l'armée américaine. Les numéros de passeport volés, en particulier, pourraient être utilisés pour suivre les déplacements de ces personnes dans le monde entier. La violation des systèmes du Bureau de la gestion du personnel faisait probablement partie de la même campagne. Les données de millions de personnes ont été volées mais aucune d’entre elles ne se sont retrouvées sur le darkweb ou ont été utilisées à des fins frauduleuses. L'objectif à long terme serait de créer un lac de données sur les employés et agents du gouvernement américain et de les analyser grâce à des techniques de big data.

Autre piste, rétrospectivement, Marriott a dû, de façon quelque peu suspecte, repousser une offre d'Anbang, une société chinoise, au moment du rachat de Starwood. On pourrait penser à une représailles mais, lorsque tout cela s'est produit en 2016, les pirates étaient déjà entrés dans les systèmes de Starwood, alors il s’agit peut-être d’une coïncidence.

Comment Marriott a-t-il réagi à cette brèche ?

Peut-être parce qu'il ne semble pas y avoir de menace immédiate sur l’utilisation frauduleuse des données volées, Marriott n'a pas fait tout son possible pour indemniser les clients qui ont été volés. Le New York Times cite un porte-parole de Marriott affirmant que l'entreprise paierait le coût de remplacement d'un passeport avec un nouveau numéro ou couvrirait les frais de carte de crédit « s'il y a eu fraude ». Bien que les dommages potentiels causés par les données personnelles stockées chez les renseignements chinois soient en théorie importants, il est difficile de les quantifier, surtout pour chaque individu.

Y a-t-il un recours collectif pour atteinte à la protection des données dans l'affaire Marriott ?

Bien sûr, ce n'est qu'un bien piètre réconfort si vous êtes l'une des personnes touchées et, en fait, les clients de Marriott et de Starwood ne prennent pas les choses à la légère. De multiples recours collectifs ont déjà été intentés, et le défaut de Marriott de faire preuve de diligence raisonnable à l'égard de la sécurité de l'information de Starwood (ou l'absence de celle-ci) a été spécifiquement mis en évidence dans les documents judiciaires par les plaignants. Accenture, la société de conseil à laquelle Starwood (et par la suite Marriott) avait confié une grande partie de ses opérations informatiques quotidiennes, est également poursuivie dans le cadre du même procès.

Cependant, il ne faut pas compter sur ces plaintes d'atteinte à la protection des données de Marriott pour obtenir une grosse somme d'argent. Consumer Reports donne plus de détails sur les clients qui seront automatiquement inclus dans le recours collectif et sur la façon dont il est possible de s’en exclure ; et prédit que toute compensation aux individus sera modeste.

Combien a coûté cette faille ?

En mars 2019, Marriott avait engagé des dépenses de 28 millions de dollars liées à une atteinte à la sécurité des renseignements personnels, ce qui n'a fait baisser que de 3 millions de dollars ses résultats nets. En mai, l'entreprise avait réduit ses pertes à seulement un million de dollars. Comment ? La cyberassurance, qui a couvert une grande partie des coûts initiaux associés à la crise. L'assurance contre les cyberattaques est une offre relativement nouvelle, mais elle semble avoir été bien utile à Marriott.

Mais ces coûts initiaux ne sont qu’un début. Nos confrères de ZDnet a estimé qu'entre les coûts directs et les pertes indirectes causées par la perte de clients à l'égard de l'entreprise à l'avenir, Marriott pourrait perdre des milliards de dollars en revenus à la suite de la violation.

Marriott a-t-il été condamné à une amende pour atteinte à la protection des données ?

En juillet 2019, un coup beaucoup plus dur est porté à l'entreprise. L'Information Commissioner's Office (ICO) du Royaume-Uni a imposé une amende de 99 millions de livres sterling pour violation du droit à la vie privée des citoyens britanniques dans le cadre du RGPD. Une fois de plus, l'ICO a spécifiquement cité le fait que Marriott n'a pas fait preuve de diligence raisonnable à l'égard de l'infrastructure IT de Starwood pour expliquer cette décision. L'amende massive n'est peut-être qu'un début, car d'autres juridictions pourraient également chercher à punir l'entreprise pour ses manquements. 

Qu’apprendre des erreurs de Marriott ?

Starwood et Marriott étaient coupables de manquements élémentaires en matière de sécurité : une absence de défense en profondeur qui a permis aux attaquants de rester dans le système pendant des années après l'avoir compromis, par exemple, et la non-conservation des données chiffrées séparément de leurs clés de sécurité. Marriott n'a pas suivi la règle la plus importante en matière de cybersécurité : supposer que son système était compromis et agir en conséquence.

La transition cahoteuse après à la fusion Marriott-Starwood – le licenciement du personnel informatique de Starwood et la longue période pendant laquelle les anciens systèmes de Starwood ont été maintenus – a aggravé le problème. La lourde amende infligée par le Royaume-Uni laisse entendre que les autorités de réglementation tiendront les entreprises pour responsables de ce genre de questions après une fusion.

Les données sur les voyages sont riches en informations qui peuvent donner un aperçu des modes de vie, des goûts et des relations des individus, mais l'industrie du voyage est loin derrière des secteurs comme les banques en ce qui concerne la cybersécurité et doit rattraper son retard maintenant. Enfin, le piratage a montré que même des particuliers peuvent devenir des dommages collatéraux dans le monde de l'espionnage gouvernemental.

Quelle est l’arnaque qui pourrait se produire derrière l’attaque ?

Une escroquerie courante à la suite d'infractions aussi graves prend la forme de courriels d'hameçonnage prétendant provenir de l'entreprise concernée, et vous demandant de réinitialiser votre mot de passe et ainsi remettre vos identifiants de connexion. Soyez très vigilant et à l'affût d'escroqueries de ce genre. Marriott n'a pas aidé les choses en publiant du matériel lié à la brèche sur des sites web avec une variété déconcertante d'URL