3darcastudio - Fotolia
Sécurité : quand certaines pratiques du monde hôtelier se retournent contre lui
Dans un billet de blog, le directeur technique des PandaLabs, procède au déroulé d’une attaque par hameçonnage ciblé contre une chaine hôtelière. L’occasion, involontaire, de souligner certaines pratiques, courantes dans le secteur, mais qui laissent dubitatif.
Début mai, Luis Corrons, directeur technique des laboratoires de Panda Security a saisi l’opportunité d’une attaque ciblée ayant visé l’un de ses clients pour en expliquer le fonctionnement, par le menu. De quoi montrer de quelle manière une opération de hameçonnage ciblée peut permettre à un attaquant d’infiltrer un système d’information. Mais également de quoi revenir sur des pratiques apparemment encore aussi courantes dans le monde de l’hôtellerie que préoccupantes.
Dans un billet de blog, Luis Corrons explique ainsi que « l’attaque a commencé par un e-mail adressé à un employé de l’hôtel et assurant que la pièce jointe contenait toutes les informations nécessaires pour régler un séjour prévu pour fin mai 2016 ». Las, la pièce jointe en question était une archive ZIP contenant un fichier assorti de l’icône d’un document Word. Mais celui-ci n’était autre qu’un exécutable, chargé d’effectivement ouvrir un document bureautique afin de mieux leurrer l’employé. Discrètement, cet exécutable récupère en parallèle la véritable charge utile malveillante.
Sans surprise, Luis Corrons explique « les anti-virus traditionnels ne fonctionnent pas contre ce type d’attaque, puisqu’il s’agit de menaces spécifiquement créées pour une victime ». Et d’assurer au passage que les services de détection et de réponse (EDR) de Panda sont là pour protéger contre ces menaces.
Selon lui, ce type d’attaque vise à compromettre les terminaux de paiement afin d’en retirer des détails de cartes bancaires. Mais l’exemple même qu’il utilise met en avant des pratiques susceptibles d’exposer bien plus simplement encore ce type de données.
Dans son exemple, Luis Corrons présente ainsi « un formulaire de réservation d’hôtel qui doit être rempli par le client. […] Comme vous pouvez le voir, il n’apparaît pas inhabituel. En fait, ce document est identique à ceux que cet employé d’hôtel envoie à ses clients ». C’est pour le moins préoccupant, car ce document, transitant probablement très souvent clair par courrier électronique contient des informations telles que le nom du porteur de carte bancaire, le type de carte, son numéro, sa date d’expiration, ou encore son cryptogramme visuel. Sans compter la signature du porteur de carte, voire sa date de naissance, le numéro de son passeport, son adresse, et peut-être même son numéro de téléphone.
Rien ne dit que ledit document, une fois reçu par l’employé, n’est pas habituellement stocké dans un entrepôt de données chiffré hors ligne et l’e-mail détruit. Mais reste encore à le garantir. Fin 2011, la rédaction du MagIT a pu constater des failles surprenantes, béantes, dans le monde de l’hôtellerie. Micaela Zanarini, alors porte-parole de Venere.com, un site partenaire de la filiale d’Expedia.com Hotels.com, nous expliquait alors qu’au moment de la réservation en ligne, « vous fournissez la carte de crédit. Et ce qui en est fait dépend de l’hôtelier ». Amichai Shulman, co-fondateur d’Imperva, s’alarmait quant à lui du risque de voir les détails de carte bancaire « passer entre de trop nombreuses mains ».
Dans la pratique, à l’époque, l’un des membres de la rédaction avait retrouvé les détails complets de sa carte bancaire écrits au crayon à papier, sur une fiche de réservation, à la réception d’un petit hôtel parisien où il venait de passer une nuit.
Au final, la démonstration de Luis Corrons aura peut-être un effet secondaire inattendu, mais bénéfique : dénoncer certaines pratiques douteuses, mais apparemment encore répandues.