Getty Images

Marriott reconnaît une brèche affectant 500 millions de clients

Les données de 500 millions de clients de sa chaîne hôtelière Starwood ont été compromises par un incident de sécurité dont l’origine remonte à 2014. Les experts s’interrogent sur les conséquences potentielles liées au RGPD.

Marriott International vient de reconnaître un incident de sécurité ayant touché la base de données de réservations de sa chaîne Starwood. Un demi-milliard de clients sont concernés. Marriott a indiqué avoir été alerté sur la brèche le 8 septembre dernier. L'enquête lancée à cette occasion a révélé un « accès non autorisé au réseau Starwood depuis 2014 » et plus précisément à une base de données contenant des informations sur les clients de la chaîne hôtelière « le 10 septembre 2018 ou avant ».

Dans un billet de blog, le groupe explique que des informations ont été « copiées et chiffrées » et qu’il « a pris des mesures » pour mettre un terme aux activités de l’indélicat. Pour autant, « Marriott n'a pas fini d'identifier les informations en double dans la base de données, mais estime qu'elles contiennent des renseignements sur environ 500 millions de clients ayant fait une réservation dans une propriété Starwood. Pour environ 327 millions de ces clients, les informations recouvrent une combinaison de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations sur le compte Starwood Preferred Guest ('SPG'), date de naissance, sexe, dates d'arrivée et de départ, date de réservation, et préférences de communication ».

Marriott ajoute que certaines données relatives aux cartes de paiement, chiffrées au moyen du protocole AES-128, ont été affectées. Toutefois, « Marriott n'a pas été en mesure d'exclure la possibilité » que les deux clés nécessaires au déchiffrement de ces données aient également été dérobées.

Des questions sur les pratiques de sécurité…

Jeff Pollard, vice-président et analyste principal chez Forrester Research, relève que le début de l’incident remonte à deux ans avant l'acquisition de Starwood par Marriott : « Marriott et Starwood ont fusionné en 2016, mais cette brèche remonte à 2014, selon les détails publiés. Comme les propriétés de Marriott n'ont pas été touchées, il semble qu'il s'agisse uniquement d'un incident Starwood », mais tout de même, « cela signifie [que la brèche] n'a pas été détectée durant la fusion et les efforts de consolidation qui ont suivi ».

Pour lui, l’incident « souligne l'importance d'une solide due diligence en matière de cybersécurité pendant le processus d'acquisition ». Car désormais, « Marriott est confronté à des atteintes à sa marque et à sa réputation, à une surveillance réglementaire et à des problèmes juridiques suivant un incident de cybersécurité survenu deux ans et plus avant l'annonce de l'acquisition de Starwood ».

Chez Netwrix, Perre-Louis Lussan, n’est pas tendre : « Marriott affirme avoir chiffré les données de cartes de crédit de ses clients, mais admet qu'il est possible que les cybercriminels aient pu également mettre la main sur les informations nécessaires pour les déchiffrer ; ce qui indique que les clés de chiffrement étaient stockées sur le même système. C'est une erreur très basique, et qui a des conséquences significatives pour le groupe hôtelier ». Et de s’en prendre également aux contrôles de sécurité déployés, Marriott ayant indiqué que l’intrusion remonte à 2014 : « ce qui laisse entendre que les capacités de détection de l’organisation font défaut. Il est en effet essentiel que les entreprises puissent surveiller le comportement des utilisateurs, détecter les anomalies et mettre fin aux sessions suspectes, et ce en temps réel ».

Chez Vectra, Grégory Cardiet ne dit pas autre chose : « le fait d'exfiltrer des données protégées par chiffrement, est le signe d’une tentative visant à contourner les contrôles de sécurité tels que les systèmes de prévention des pertes de données (DLP). Disposer de systèmes surveillant les comportements d'exfiltration plutôt que d'essayer d'inspecter les charges utiles des données peut constituer un moyen de relever ce défi. On ne sait pas encore exactement quel outil a signalé l'attaque, mais il est raisonnable de croire, d'après les éléments publiés, que la faille a été détectée tard dans le cycle de vie de l'attaque. Les attaquants doivent généralement avancer lentement et par étapes pour gagner des privilèges par exemple, et adopter plusieurs comportements avant de pouvoir accéder aux données recherchées, les exfiltrer, ou encore commencer à effacer leurs traces et comportements. Par conséquent, la détection de ces comportements à un stade précoce est essentielle ».

Toutefois, pour François Baraër, ingénieur avant-vente Europe du Sud chez Cylance, « avoir mis en place un accès au réseau du groupe et surtout l’avoir conservé pendant plus de 4 ans sans avoir été détecté, c’est là un réel exploit. Une entreprise de la dimension de Marriott Starwood dispose d’une infrastructure informatique importante, qui doit être entretenue et qui suppose que le matériel informatique est également régulièrement mis à jour et remplacé. Les attaquants ont donc dû investir beaucoup pour maintenir leurs accès et portes dérobées ! Il ne s’agit donc pas d’une petite attaque non préparée ».

Mais aussi sur l’accompagnement des clients…

De son côté, Marty Puranik, PDG d'Atlantic.net, fournisseur de services cloud, estime qu'en raison de la sensibilité des données compromises, les clients des hôtels Starwood devraient profiter de services de surveillance d'identité.

Même son de cloche chez Julien Cassignol, architecte solutions IAM et PAM chez One Identity : « Marriott estime qu’environ 327 millions de clients sont concernés par la compromission de leur numéro de téléphone et leur adresse mail. Même si cela peut poser des problèmes, ce ne sont clairement pas les informations les plus sensibles. Des millions voire des milliards de données de ce type sont dans la nature aujourd’hui, en vente sur le darkweb, etc. ». Mais « la compromission de données de cartes bancaires est déjà plus problématique. Il est certes possible de bloquer sa carte de crédit et d’en demander une autre, mais les données ayant été exposées déjà depuis plusieurs mois, les clients doivent donc être attentifs à l’historique de leurs comptes… Enfin les données de passeport présentent le plus de risques. Obtenir un nouveau passeport n’est pas aisé, et il n’est pas possible de désactiver un passeport. Il va être intéressant de voir comment Marriott va communiquer et accompagner ses clients avec les conseils appropriés ».

Chez Varonis, Guillaume Garbey rappelle les menaces pesant désormais sur les clients concernés : « aujourd’hui, plus de 500 millions de personnes vont devoir surveiller leurs historiques de comptes bancaires, sans compter le risque d’être impactés tout au long de leur vie, par des usurpations d’identité, des tentatives d’escroqueries par mail (phishing) dans les mois et les années à venir en raison de la nature très personnelle des informations volées, etc. Ce type de failles n’est donc pas sans conséquence pour les victimes ». Pour lui, « il est incroyable d’imaginer qu’à notre époque où les failles se multiplient au point de devenir quasi quotidiennes, les grandes marques ne parviennent pas à protéger ce qui compte le plus, les données personnelles de leurs clients, alors qu’elles dépensent des millions en publicité. Ce qui justifie que les clients continuent de se méfier et d’exiger des règlements comme le RGPD ou, encore très récemment, le California Consumer Privacy Act aux Etats-Unis ».

Et sur les conséquences liées au RGPD

Justement, avec des ressortissants européens dans la masse des clients concernés, Marriott pourrait être exposé au risque d'amendes dans le cadre du règlement général de protection des données (RGPD). Grégory Cardiet souligne ainsi que, « si les dates sont avérées, entre la date de détection initiale, soit le 8 septembre 2018, et la divulgation publique de la faille, l’exigence de notification du RGPD de 72 h a été très loin d’être respectée. Conformément au Règlement, la marque s’expose également à une très forte amende… La fameuse double-peine du RGPD ». Jeff Pollard évoque, plus loin, certaines lois locales outre-Atlantique, avec notamment les récentes exigences canadiennes en matière de notification. Pour lui, « il est certain que la brèche qui a commencé en 2014 se poursuivait encore sous le régime [du] RGPD. Et la notification d'atteinte à la sécurité des données n'est qu'une des exigences du règlement. La boîte de Pandore est ouverte et les régulateurs vont probablement commencer à poser des questions sur les pratiques de traitement des données de l'entreprise : ont-ils suivi et évalué les risques liés à leurs activités de traitement des données, comment et pourquoi ils ont recueilli les données personnelles, pourquoi elles étaient encore dans leurs systèmes, etc. Les implications peuvent ici être énormes ».

Cependant, Ilia Kolochenko, PDG et fondateur de High-Tech Bridge, estime que le groupe Marriott « peut essayer de trouver diverses excuses ou circonstances atténuantes ». Selon lui, « cela dépend vraiment des détails techniques de la brèche. Si la négligence est la cause fondamentale de l’intrusion, les plaignants auront plus de chances de l'emporter sur leurs réclamations et d'obtenir des dommages ou des dédommagements plus importants. Cependant, s'il s'agissait d'une attaque très sophistiquée qu'aucune entreprise de l'industrie n'aurait pu détecter avec la diligence requise et un investissement raisonnable dans la cybersécurité, le groupe pourrait avoir une défense valable ou au moins une circonstance atténuante ».

Avec nos confrères de SearchSecurity.com (groupe TechTarget)

Pour approfondir sur Cyberdélinquance