La semaine dernière, le PDG Arne Sorensen avait fait une déclaration et donné de nouveaux détails sur la fuite chez Marriott : Le 30 novembre 2018, les enquêteurs avaient découvert que 383 millions de données clients, 18,5 millions de mots de passe, 5,25 millions de numéros de passeport, 9,1 millions de numéros de cartes de crédit cryptés et 385 000 numéros de cartes de crédit valides avaient été volés. Les dommages qui en résultent sont peut-être gigantesques et certaines victimes ne pourront pas être indemnisées. Au cours du mois suivant l’annonce, le cours de l’action MAR a perdu plus de 12 % de sa valeur (tombée à 100,99 dollars).
Entre-temps, les choses s’améliorent, le cours s’est redressé pour atteindre actuellement 124,96 $ (au 18 mars 2019) et on a appris aujourd’hui que 1 700 nouveaux hôtels devraient être ouverts d’ici 2021.
Il s’agit certainement d’une évolution heureuse pour Marriott, mais la question reste de savoir à quoi se rapportent les dommages chiffrés et si la gestion du thème de la sécurité se durcira encore à l’avenir ou si cette reprise rapide incitera à un sentiment de modération.
Le déroulement des faits :
Le 8 septembre 2018, Accenture, qui gère la base de données Starwood dans laquelle sont gérées les données relatives aux réservations, avait annoncé que le système de surveillance IBM Guardium avait détecté des anomalies dans cette base de données la veille. Depuis deux ans, une migration a été activement menée pour migrer les données clients de la base de données de Starwood vers celle de la chaîne Marriott. Cependant, à cette époque, le système Starwood était encore séparé de celui de la chaîne Marriott.
La veille, le 07/09/2018, un utilisateur interne de Starwood d’un compte administratif a fait une demande à une base de données pour retourner le nombre de rangées d’une table de cette base de données. De telles requêtes sont signalées par le logiciel de surveillance car elles sont considérées comme dangereuses, la base de données n’ayant généralement pas besoin d’exécuter de telles requêtes. Pour cette raison, un être humain aurait dû entrer l’ordre manuellement. Le propriétaire du compte d’utilisateur n’avait toutefois pas exécuté la demande, raison pour laquelle on savait qu’il s’agissait d’une attaque potentielle.
Le 10 septembre 2018, des experts médico-légaux ont été appelés en renfort. En l’espace d’une semaine, un logiciel malveillant a été découvert dans le système informatique de Starwood. Les enquêteurs ont trouvé un RAT (remote access trojan). Un tel logiciel permet d’accéder, de surveiller et de contrôler un ordinateur de manière cachée.
Le PDG a été informé de cette situation le lendemain et le conseil d’administration le surlendemain. Malgré la présence d’un logiciel malveillant sur les systèmes de Starwood, il n’y avait aucune preuve d’accès non autorisé aux données des clients.
En octobre 2018, Mimikatz a été trouvé sur des appareils des systèmes Starwood. Il s’agit d’une application qui permet d’effectuer des tests d’intrusion. Il recherche les noms d’utilisateur et les mots de passe dans la mémoire de l’appareil infecté et a probablement été utilisé pour obtenir d’autres données sur les utilisateurs des systèmes Starwood. Cependant, les enquêteurs n’ont toujours pas trouvé de preuves du vol de données de clients.
En novembre 2018, les enquêteurs ont découvert que les pirates étaient déjà actifs sur les systèmes informatiques de Starwood depuis juillet 2014. L’attaque était donc en cours depuis quatre ans.
Le 14 novembre 2018, la preuve de la fuite de données a ensuite été trouvée. Deux fichiers compressés et chiffrés potentiellement supprimés d’un périphérique interne ont été découverts. Il est possible que ces fichiers aient été supprimés du système afin de masquer les traces.
Le 19 novembre 2018, les enquêteurs ont décrypté les fichiers : l’un d’entre eux contenait une exportation de la base de données Starwood pour les réservations, y compris les données des clients. L’autre fichier contenait des données relatives aux passeports.
Ce jour-là, la fuite a été rendue publique par la chaîne d’hôtels.
Littérature complémentaire et références :
https://www.wsj.com/articles/marriott-expects-to-open-1-700-hotels-11552905407 (18.03.2019)
https://www.grc.com/securitynow.htm Épisode #705 (18.03.2019)
https://news.marriott.com/2018/11/marriott-announces-starwood-guest-reservation-database-security-incident/ (18.03.2019)