Marriott concède que 5 millions de numéros de passeport volés par les pirates n'ont pas été chiffrés
Faisant suite à la violation des données clients

Le , par Stan Adkens

183PARTAGES

15  0 
Marriott concède que 5 millions de numéros de passeport volés par les pirates n'ont pas été chiffrés
Faisant suite à la violation des données clients

Les données utilisateurs sont devenues la cible privilégiée du piratage ces dernières années. Des révélations des violations de plus en plus massives de ces données confidentielles faites par les entreprises qui détiennent de grande quantité d’information sur leurs clients se multiplient. Marriott International, Inc., le groupe hôtelier américain spécialisé dans l'hôtellerie de luxe, basé à Bethesda, dans le Maryland, aux États-Unis a été victime de cette vaste campagne de piratage de données clients. Le groupe a révélé en novembre dernier que les données de plusieurs de ses clients, précisément de la base de données de réservations de Starwood, avaient été exposées lors d’une cyberattaque historique à l’occasion d’un accès non autorisé par des tiers qui a eu lieu depuis 2014.

Après une enquête et le déchiffrement des informations qui avaient été copiées et cryptées par les auteurs de l’accès non autorisé, Marriott International a révélé que des informations relatives à environ 500 millions de personnes, qui ont fait une réservation dans un établissement Starwood, avaient été affectées. Cependant, la société avait également dit que ce chiffre était exagéré car plusieurs informations de la base étaient en double.

Selon la société, les informations compromises sont entre autre un ensemble de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation, préférences de communication, les numéros de carte de paiement et leur date d'expiration et bien d'autres informations.

En décembre, trois sources anonymes, parmi les enquêteurs privés qui ont enquêté sur cette brèche, ont déclaré que l’enquête à découvert des outils, techniques et procédures de piratage précédemment utilisés dans des attaques et attribués à des pirates chinois. Suggérant que les pirates chinois auraient été à l'origine d'une campagne visant à collecter des informations destinées à être utilisées dans les efforts d'espionnage de Beijing et non à des fins financières.

Toutefois, les sources anonymes ont averti qu'il était possible que quelqu'un d'autre soit derrière le piratage parce que d'autres parties avaient accès aux mêmes outils de piratage. Ce qui rendait difficile, jusqu’à là, l'identification du coupable dans la mesure où les enquêteurs soupçonnaient l’implication simultanée de plusieurs groupes de pirates dans l’attaque des réseaux informatiques de Starwood depuis 2014. Plusieurs autres experts sont unanimes sur l’implication des services de renseignement chinois dans cette violation massive des données client.


Le groupe hôtelier Marriott International, qui continue l’identification des dossiers en double, a dans sa déclaration de ce vendredi revu à la baisse le nombre de personnes touchées par l’attaque informatique, a rapporté The New York Times. Selon la société, les équipes d'analystes médico-légaux et d'analystes de données avaient identifié « environ 383 millions de dossiers comme étant la limite supérieure » du nombre total de dossiers de réservations des clients perdus lors de l’attaque. Marriott International a déclaré également ne toujours pas savoir l’origine de l'attaque et a suggéré que le chiffre diminuerait avec le temps à mesure que d'autres dossiers en double seront identifiés.

Dans sa déclaration de ce vendredi, la société a également admis pour la première fois, selon The New York Times, que son unité d'hôtel Starwood n'avait pas chiffré les numéros de passeport pour environ cinq millions de clients qui ont été impliqués dans le vol de données lors du piratage. Toutefois, bien que le chiffre de personnes affectées par la violation ait été revu à la baisse, il demeure le plus importante de l'histoire, devant celui de l'attaque contre Equifax, l'agence d'évaluation du crédit à la consommation, qui a perdu le permis de conduire et les numéros de sécurité sociale d'environ 145,5 millions d'Américains en 2017, entraînant une perte énorme de confiance dans l'entreprise, a écrit The News York Times.

Selon The New York Time, l’attaque de Marriott est particulièrement grave à cause de l’implication des numéros de passeports qui pourraient faciliter grandement la tâche d'un service de renseignement pour suivre les personnes qui traversent les frontières, même si Marriott a dit qu'il paierait pour un nouveau passeport pour toute personne dont les renseignements sur le passeport ont été volés à partir de leurs systèmes lors de l’accès non autorisé.

En décembre dernier, des enquêteurs privés et plusieurs experts indépendants soupçonnaient que l’attaque de Marriott faisait partie d’un effort de collecte de renseignements chinois qui remonte jusqu'en 2014, et qui comprenait également le piratage des assureurs santé américains et l'Office of Personnel Management (OPM), l’agence américaine qui conserve des dossiers de sécurité sur des millions d'Américains.

Selon The News York Times, dans son article de ce vendredi consacré à cette affaire, cet effort de renseignement chinois était l’œuvre du ministère de la Sécurité d'État de la Chine et viserait à compiler une vaste base de données sur les Américains et d'autres personnes occupant des postes gouvernementaux ou industriels sensibles - y compris leur lieu de travail, le nom de leurs collègues, leurs contacts et amis étrangers, et leur lieu de voyage.

« Le Big Data est la nouvelle vague pour le contre-espionnage », a déclaré le mois dernier James A. Lewis, un expert en cybersécurité qui dirige le programme de politique technologique au Centre des études stratégiques et internationales à Washington.

Cependant, la Chine a rejeté toute implication dans la cyberattaque contre Starwood. Un porte-parole du ministère des Affaires étrangères, a déclaré en décembre que « La Chine s'oppose fermement à toute forme de cyberattaque et sévit contre le piratage informatique conformément à la loi. » « Si des preuves sont apportées, les services chinois compétents mèneront les enquêtes conformément à la loi », a-t-il ajouté.

L’enquête dans l’affaire Marriott a révélé une nouvelle vulnérabilité des systèmes hôteliers...

Selon The New York Times, l’enquête dans l’affaire Marriott a révélé une nouvelle vulnérabilité des systèmes hôteliers, concernant le traitement qui est fait des données de passeport lorsqu'un client fait une réservation ou s'enregistre dans un hôtel, habituellement à l'étranger, et lorsqu’il remet un passeport au réceptionniste. En ce qui concerne la gestion de ces données par les systèmes de Starwood, Marriott a déclaré que 5,25 millions de numéros de passeport étaient conservés dans des fichiers de données non chiffrés et facilement lisibles par quiconque dans le système de réservations et 20,3 millions de numéros de passeport supplémentaires ont été conservés dans des fichiers cryptés dont la lecture nécessiterait une clé de chiffrement, a rapporté The News York Times.

« Il n'y a aucune preuve que le tiers non autorisé ait accédé à la clé principale de chiffrement nécessaire pour déchiffrer les numéros de passeport cryptés », a déclaré Marriott dans un communiqué.

La divergence des protocoles de traitement de données des passeports par les hôtels dans chaque pays est la seule raison que Marriott a fournie pour expliquer le fait que certaines données de passeport soient chiffrées et d’autres pas. Toutefois Marriott a déclaré que maintenant qu’il avait fusionné les données de Starwood dans ses systèmes de réservations, après que la fusion avec la société ait été complétée à la fin de 2018, « Nous examinons notre capacité à passer au chiffrement universel des numéros de passeport et nous travaillerons avec nos fournisseurs de systèmes pour mieux comprendre leurs capacités, ainsi que pour examiner les règlements nationaux et locaux applicables. », a déclaré Connie Kim, porte-parole de la compagnie, en réponse à une question.

Le mois dernier, le département d'État américain avait rassuré dans une déclaration que les titulaires des passeports dont le numéro avait été volé dans l’attaque, que le numéro du passeport à lui seul ne permettrait pas à quelqu'un de créer un faux passeport. Le département d’Etat a ajouté que « Nous sommes conscients que les numéros de passeport de certaines personnes ont peut-être été divulgués, mais nous tenons à souligner qu'aucun des registres ou systèmes informatiques du département d'État américain ne se connecte aux registres de Marriott ou des systèmes. Personne ne peut accéder aux archives du département ou obtenir des copies des archives d'un citoyen américain en utilisant un numéro de passeport ».

Le piratage de la base des informations client de Starwood a permis également aux pirates d’emporter environ 8,6 millions de cartes de crédit et de débit. Mais Marriott a déclaré qu'elles étaient toutes cryptées et que toutes les cartes, sauf 354 000, avaient expiré en septembre 2018.

Selon The New York Times, aucune des informations dérobées par les cyberattaquants n’a encore été utilisée dans une transaction frauduleuse. Toutefois, les enquêteurs voient en cela un signe de plus que des agences de renseignement, qui utilisent les données à d’autres fins propres, sont à l’origine de la cyberattaque.

Si ces soupçons contre la Chine se confirment, les relations commerciales, déjà en mauvais état, du pays avec son partenaire américains prendraient un coup. Pas plus tard que le mois dernier, les procureurs américains inculpaient deux ressortissants chinois qui seraient liés à une agence d'espionnage de vol de données confidentielles auprès d'agences gouvernementales américaines et d'entreprises du monde entier.

Source : The News York Times

Et vous ?

Qu’en pensez-vous ?

Lire aussi

Les Etats-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées
Un ressortissant chinois, ex-employé d'une société américaine poursuivi pour espionnage économique, et vol de code source propriétaire
USA : six ressortissants chinois accusés d'espionnage économique, et de vol de secrets commerciaux
Washington DC poursuit Facebook pour le scandale Cambridge Analytica, environ 340 000 résidents de l'Etat ayant été affectés par l'affaire
Facebook craindrait que les députés britanniques aient accès aux documents saisis, dans le cadre de l'enquête sur la violation de la vie privée

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de transgohan
Expert éminent https://www.developpez.com
Le 10/07/2019 à 10:44
Citation Envoyé par Aiekick Voir le message
hors l'utilisateur ne verrais jamais l’argent de ces amandes vu qu'elle ne lui sont pas destinées...
Le but n'est pas de payer des dommages et intérêts aux utilisateurs, ça ils peuvent le demander en portant plainte eux même.
Le but est que les entreprises investissent dans la protection des données par peur de devoir payer des amendes (ça a plus de poids que les amandes ).
7  1 
Avatar de herr_wann
Membre actif https://www.developpez.com
Le 05/01/2019 à 11:30
Ce n'est pas grave, les 5 millions de personnes concernées n'ont rien à cacher
3  0 
Avatar de tanaka59
Membre chevronné https://www.developpez.com
Le 05/01/2019 à 14:08
Les violations de masses de données telle qu'exposées ici ne font plus rire du tout

On en reparlera le jour ou votre identité sera usurpée , que vous devrait prouver que vous êtes bien "vous" . Que vous devrez supporter le remboursement des fraudes contractées par votre usurpateur. Au risque d'être bloqué administrativement. Pire encore quand vous aurez de la difficulté face à la maréchaussée , car votre usurpateur aura commis un meurtre, un accident grave , des trafics en tout genre ...
3  1 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 10/07/2019 à 10:15
c'est bien gentil toutes ces amandes RGPD, mais au fond ce qui a été mit en risque ou piraté ce sont les données utilisateur, hors l'utilisateur ne verrais jamais l’argent de ces amandes vu qu'elle ne lui sont pas destinées...
2  0 
Avatar de tanaka59
Membre chevronné https://www.developpez.com
Le 06/01/2019 à 19:04
Bonsoir

Citation Envoyé par TheLastShot Voir le message
A la maréchaussée ?
Toute force de l'ordre pouvant exercer une mission de police ou maintien de l'ordre
0  0 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 06/01/2019 à 19:23
Citation Envoyé par tanaka59 Voir le message
Bonsoir

Toute force de l'ordre pouvant exercer une mission de police ou maintien de l'ordre
Euh non, la maréchaussée c'est l'ancien nom de la gendarmerie nationale, qui a aussi changé de fonctionnement entre temps. Donc en fait c'est quelque chose qui n'existe plus... (c'est un peu comme si tu parlais de "télévision cathodique" pour parler des télévision d'aujourd'hui)
0  0 
Avatar de 4bstract
Membre régulier https://www.developpez.com
Le 10/07/2019 à 10:48
Ces amendes sont complètement contre-productives. Dans l'article, il est dit que c'est Starwood qui a fait la démarche de signaler le problème à l'ICO. Et pour leur coopération, ils récoltent une amende de 110 millions. Après ça, il faudra pas s'étonner si les entreprises tentent d'étouffer tous leurs problèmes de cyber-sécurité. Dites moi si l'analogie est mauvaise mais lorsqu'une banque se fait braquer, ce n'est pas elle qui se prend une amende pour le manque de sécurité. Certes la logique est différente pour les données dématérialisées mais pas dans cet ampleur.
La rigidité du système anglais va, à terme, causer beaucoup de tort (en référence aussi à l'article Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique).
1  1 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 06/01/2019 à 16:06
Citation Envoyé par tanaka59 Voir le message
Les violations de masses de données telle qu'exposées ici ne font plus rire du tout

On en reparlera le jour ou votre identité sera usurpée , que vous devrait prouver que vous êtes bien "vous" . Que vous devrez supporter le remboursement des fraudes contractées par votre usurpateur. Au risque d'être bloqué administrativement. Pire encore quand vous aurez de la difficulté face à la maréchaussée , car votre usurpateur aura commis un meurtre, un accident grave , des trafics en tout genre ...
A la maréchaussée ? Palsambleu, docteur Who est parmi nous.
0  2 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web