USA : la Chine serait impliquée dans la violation massive de données du groupe hôtelier Marriott

Qui a affecté 500 millions de ses clients

Marriott International, Inc. est un groupe hôtelier américain spécialisé dans l'hôtellerie de luxe et est basé à Bethesda, dans le Maryland, aux États-Unis. Il comprend un portefeuille de plus de 6 700 établissements appartenant à 30 grandes marques hôtelières réparties dans 129 pays et territoires. En 2016, Marriott International a acheté Starwood, créant ainsi la plus grande chaîne d'hôtels. Les marques hôtelières Starwood comprennent les hôtels W, Sheraton, Le Méridien et Four Points by Sheraton. Les hôtels de marque Marriott utilisent un système de réservation distinct sur un réseau différent. Le 8 septembre dernier, Marriott a reçu une alerte d'un outil de sécurité interne concernant une tentative d'accès à la base de données de réservations Starwood aux États-Unis. Le groupe hôtelier a engagé des experts en sécurité pour déterminer ce qui se passait.

L’enquête a révélé qu’un accès non autorisé au réseau Starwood avait eu lieu depuis 2014. La société a récemment découvert qu’une partie non autorisée avait copié et crypté des informations et avait pris des mesures pour les supprimer. Le 19 novembre 2018, Marriott a été en mesure de déchiffrer les informations et a déterminé que le contenu provenait de la base de données de réservations Starwood. La société n’a pas fini d’identifier les informations en double dans la base de données, mais pense que celle-ci contient des informations relatives à environ 500 millions de personnes qui ont fait une réservation dans un établissement Starwood. Pour environ 327 millions de ces clients, les informations compromises sont entre autre un ensemble de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication.

Pour certains, les informations incluent également les numéros de carte de paiement et les dates d'expiration, mais les numéros de carte de paiement ont été cryptés à l'aide du cryptage Advanced Encryption Standard (AES-128). Deux composants sont nécessaires pour déchiffrer les numéros de carte de paiement et, à ce stade, Marriott n'a pas été en mesure d'exclure la possibilité que les deux aient été pris. Pour les clients restants, les informations se limitaient au nom et parfois à d'autres données telles que l'adresse postale, l'adresse électronique ou d'autres informations. « Ce sont des données extrêmement intimes », a déclaré Edward Hasbrouck, écrivain spécialisé dans le tourisme et défenseur des droits des consommateurs, qui a longtemps mis en garde contre la sensibilité et la sécurité insuffisante des enregistrements de voyage informatisés.


Des enquêteurs privés qui ont enquêté sur cette brèche ont découvert que des outils, techniques et procédures de piratage précédemment utilisés dans des attaques étaient attribués à des pirates chinois, ont déclaré trois sources non autorisées à parler de l'enquête de l'entreprise sur cette attaque. Cela suggère que les pirates chinois auraient été à l'origine d'une campagne visant à collecter des informations destinées à être utilisées dans les efforts d'espionnage de Beijing et non à des fins financières, ont déclaré deux des sources. Bien que la Chine soit devenue le principal suspect dans l'affaire, les sources ont averti qu'il était possible que quelqu'un d'autre soit derrière le piratage parce que d'autres parties avaient accès aux mêmes outils de piratage, dont certains avaient déjà été mis en ligne. L'identification du coupable est encore compliquée par le fait que les enquêteurs soupçonnent que plusieurs groupes de piratage auraient pu être simultanément dans les réseaux informatiques de Starwood depuis 2014.

Si les enquêteurs confirment que la Chine était à l'origine de l'attaque, cela pourrait compliquer les relations déjà tendues entre Washington et Beijing, dans le cadre d'un différend tarifaire en cours et d'accusations américaines d'espionnage chinois et de vol de secrets commerciaux. Pour rappel, au début du mois de novembre, le Département du Commerce des États-Unis d’Amérique a placé sur sa liste noire Fujian Jinhua, une société chinoise qui fabrique des semi-conducteurs. L'entreprise ne pourra plus acheter ou vendre de produits technologiques sur le sol américain. Et pour cause, le Département de la Justice des États-Unis a dévoilé les accusations portées contre une entreprise publique chinoise et son partenaire taïwanais, pour avoir volé des secrets commerciaux auprès de Micron Technology Inc., un fabricant américain de micropuces pour les smartphones, les tablettes et aussi pour les ordinateurs.

Les employés de Fujian Jinhua auraient tenté de dissimuler les preuves mais la police taïwanaise a réussi à retrouver l'employé chinois chargé de faire disparaître les preuves de l'espionnage industriel. Selon les autorités taïwanaises, ces informations étaient destinées à la Chine, qui comptait les copier et les reproduire à grande échelle dans une nouvelle usine de micropuces, une startup financée par des fonds publics s'élevant à 5,7 milliards de dollars US, dont le nom est Fujian Jinhua. Par cet acte, la Chine espérerait envahir le marché des puces avec ces copies probablement bon marché et, au passage, atteindre l'autosuffisance sur la production de micropuces.

« La Chine s'oppose fermement à toutes les formes de cyberattaques et les punit conformément à la loi », a déclaré à Reuters le porte-parole du ministère chinois des affaires étrangères, Geng Shuang. « S'ils présentent des preuves, les départements chinois concernés mèneront des enquêtes conformément à la loi », ajouta-il. La porte-parole de Marriott, Connie Kim, a refusé de commenter, en disant qu'ils n'ont aucune information à partager, lorsque Reuters lui a posé des questions sur l'implication de pirates chinois dans le piratage de l'hôtel. Marriott a révélé le piratage il y a quelques jours, ce qui a amené les régulateurs américains et britanniques à lancer rapidement des enquêtes pour mieux comprendre comment cela s'est produit.

Le piratage a commencé en 2014, peu de temps après l'attaque de l'Office of Personnel Management (OPM), une agence indépendante du gouvernement des États-Unis responsable de la fonction publique du gouvernement fédéral, qui avait compromis des données sensibles concernant des employés, notamment des formulaires de demande d'autorisation de sécurité. Pour rappel, les États-Unis avaient été victimes d’un piratage d’envergure qui a entraîné l’exposition des données personnelles de près de quatre millions de travailleurs du gouvernement fédéral, selon une annonce publiée par le gouvernement. L’attaque aurait été perpétrée à partir du mois de décembre 2014 contre l'OPM,

Selon le Washington Post, qui avait cité des responsables américains qui ont souhaité garder l’anonymat, l’OPM aurait détecté une activité malveillante sur ses systèmes d’information à partir du mois d’avril. Le Département de la sécurité intérieure a conclu après enquête au mois de mai que les données de l’organisme avaient été compromises. Dans un communiqué, l’OPM a fait savoir que les données de près de quatre millions de travailleurs (anciens et actuels) auraient été compromises. Il s’agit des informations concernant l’évaluation du personnel, l’attribution des tâches, les numéros de sécurité sociale, etc. Les personnes affectées seront informées à partir du mois de juin. L’OPM n’exclut pas...