alexlukin - Fotolia

Indices sur l'étendue de la brèche du système SynXis de Sabre

Déclarée au mois de mai dernier, la brèche ayant affecté le système de réservation pour l’hôtellerie a touché notamment des hôtels des chaînes Trump, Loews, et Hard Rock.

C’est début mai que Sabre, fournisseur de solutions informatiques pour compagnies aériennes, le monde du voyage et l’industrie hôtelière, a fait état, dans ses déclarations au gendarme des marchés boursiers américains, d’une intrusion dans son système centralisé de gestion de réservation de chambres de d’hôtel, SynXis.

Il indiquait alors « enquêter sur un incident impliquant l’accès non autorisé aux informations de paiement contenues dans un sous-ensemble de réservations hôtelières traitées » via ce système. Sabre assure que l’intrusion a été bloquée et qu’il « n’y a pas d’indication de poursuite d’activité non autorisée à ce stade ».

L’enquête semble révéler graduellement l’étendue des dégâts. Ce n’est en effet qu’un mois plus tard, début juin, que les hôtels Trump ont été alertés d’un accès non autorisé « au compte permettant d’accéder aux données de cartes de paiement et à certaines informations de réservation pour certaines des réservations » traitées via SynXis. Quatorze propriétés sont concernées.

Le groupe Hard Rock Hotels & Casino a communiqué sur l’incident début juillet, un mois après avoir été informé par Sabre, mentionnant 11 de ses propriétés. Comme le groupe Trump Hotels, il fait état d’une intrusion ayant commencé le 10 août 2016 et terminée le 9 mars dernier. Un troisième groupe hôtelier, Loews, est également concerné. Mais dans son cas, les premiers accès non autorisés remontent au 29 août dernier.

Pour l’heure, ni Sabre, ni les trois chaînes hôtelières concernées connues à ce jour, n’ont fourni d’indication quant au nombre cartes bancaires ou de porteurs affectés par cet incident qui s’est étalé sur rien moins que sept mois. Sur son site Web, Sabre revendique 93 millions de nuitées traitées par an sur un total de 36 000 propriétés hôtelières à travers le monde. En 2016, l’activité solutions pour l’hôtellerie de Sabre a généré un chiffre d’affaires de 224 M$.

Les incidents de sécurité dans le monde hôtelier n’ont pas été rares, au cours des dernières années. Mi-avril, le groupe Intercontinental a reconnu un vaste incident de sécurité ayant touché les systèmes de paiement de nombre de ses hôtels entre l’Amérique du Nord et Porto Rico, entre la fin septembre et la fin décembre 2016. Les hôtels qui avaient mis en œuvre, avant le début de l’intrusion, la solution d’autorisation de paiements chiffrée de bout en bout du groupe (SPS) n’ont pas été affectés.

Il y a un peu plus d’un an, le groupe Hyatt avait reconnu la compromission des terminaux de paiement de plus de 250 de ses hôtels. Le groupe Hilton a également été visé fin 2015, ainsi que le groupe Starwood. Et c’était après que le groupe Mandarin Oriental ait lui-même été attaqué début 2015. Des systèmes de paiement en guichet d’hôtels Trump ont eux-mêmes été victimes de pirates entre mai 2014 et juin 2015.

Mi-2016, dans un billet de blog, le directeur technique des PandaLabs avait procédé au déroulé d’une attaque par hameçonnage ciblé contre une chaîne hôtelière. Cela avait été l’occasion de souligner certaines pratiques courantes dans le secteur, mais qui laissent dubitatif.

Fin 2011, la rédaction du MagIT avait pu constater des failles surprenantes, béantes, dans le monde de l’hôtellerie. Micaela Zanarini, alors porte-parole de Venere.com, un site partenaire de la filiale d’Expedia.com Hotels.com, nous avait alors expliqué qu’au moment de la réservation en ligne, « vous fournissez la carte de crédit. Et ce qui en est fait dépend de l’hôtelier ». Amichai Shulman, co-fondateur d’Imperva, s’alarmait quant à lui du risque de voir les détails de carte bancaire « passer entre de trop nombreuses mains ».

Pour approfondir sur Cyberdélinquance