Alors que ce vendredi la chaîne d’hôtellerie Marriott a annoncé le piratage d’une base de données des hôtels Starwood pouvant contenir les informations d’environ 500 millions de clients, certains points laissent interrogatifs et méritent des commentaires.
1 Stocker dans le même système numéros de cartes bleues et clés de chiffrement
Pour certains clients, les informations qui ont été volées incluent également les numéros de carte de paiement et les dates d’expiration, a précisé Marriott dans un communiqué. Si le groupe indique que « les numéros de carte de paiement ont été chiffrés à l’aide du cryptage Advanced Encryption Standard (AES-128) » et que « deux composants sont nécessaires pour décrypter les numéros de carte de paiement » il précise cependant qu’il « n’a pas été en mesure d’exclure la possibilité que les deux aient été volés. »
Pour Pierre-Louis Lussan, Country Manager France chez Netwrix, une telle affirmation signifie que les clés de chiffrement et les données des cartes bancaires étaient stockés au même endroit : « Marriott affirme avoir chiffré les données de cartes de crédit de ses clients, mais admet qu’il est possible que les cybercriminels aient pu également mettre la main sur les informations nécessaires pour les déchiffrer ; ce qui indique que les clés de chiffrement étaient stockées sur le même système. C’est une erreur très basique, et qui a des conséquences significatives pour le groupe hôtelier »
2 Détecter trop tardivement l’attaque
Le groupe a précisé dans son communiqué : « Au cours de l’enquête, Marriott a appris qu’il y avait eu un accès non autorisé au réseau Starwood depuis 2014. » La découverte de l’infiltration des pirates a donc eu lieu 4 ans plus tard… Ce qui laisse entendre que les capacités de détection de l’organisation font défaut. « Il est en effet essentiel que les entreprises puissent surveiller le comportement des utilisateurs, détecter les anomalies et mettre fin aux sessions suspectes, et ce en temps réel« , relève Pierre-Louis Lussan. Grégory Cardiet, expert sur les questions de cybersécurité, ingénieur Avant-Ventes chez Vectra expose : « On ne sait pas encore exactement quel outil a signalé l’attaque, mais il est raisonnable de croire, d’après les éléments publiés, que la faille a été détectée tard dans le cycle de vie de l’attaque. Les attaquants doivent généralement avancer lentement et par étapes pour gagner des privilèges par exemple, et adopter plusieurs comportements avant de pouvoir accéder aux données recherchées, les exfiltrer, ou encore commencer à effacer leurs traces et comportements. Par conséquent, la détection de ces comportements à un stade précoce est essentielle. » Grégory Cardiet relève : « Dans de nombreux cas, les équipes de sécurité essaient de comprendre « ce qui vient de se passer et comment empêcher que cela ne se reproduise » plutôt que de repérer, comprendre et bloquer un attaquant plus tôt dans son cycle d’attaque pour minimiser ou stopper une faille. »
3 RGPD : ne pas signaler la violation dans les 72 heures
Le RGPD contraint les entreprise désormais à révéler les violations de données dans les 72 heures. « Si les dates sont avérées, entre la date de détection initiale, soit le 8 septembre 2018, et la divulgation publique de la faille, l’exigence de notification du RGPD de 72 heures a été très loin d’être respectée. Conformément au règlement, la marque s’expose également à une très forte amende… La fameuse double-peine du RGPD« , indique Grégory Cardiet
