Fuite de données chez Marriott : 500 millions de raisons d’être concerné

Un panneau indique l'emplacement d'un Marriott de Chicago. En novembre 2018, la chaîne hôtelière a déclaré que sa base de données de réservations de clients avait été piratée, compromettant la sécurité de près de 500 millions de clients. Scott Olson/AFP

Le 30 novembre 2018, Marriott International a annoncé une énorme violation de données concernant 500 millions de clients : le deuxième plus grand acte de piraterie jamais enregistré (après celui de Yahoo, en 2013, avec 3 milliards de comptes piratés). Avec chaque jour une nouvelle violation de données, tout le monde se demande comment cela a été possible.

Voler des données sur Internet semble facile quand on considère le nombre et l’ampleur de tous ces vols. Il faut d’autant plus s’alarmer que les échecs des pirates ne sont pas toujours signalés, car, leurs tentatives sont par nature cachées. De plus, les criminels essayent de pénétrer continuellement dans les systèmes d’information, pour profiter de nombreuses cibles faciles et lucratives dans le cyberespace. Ils profitent ainsi de la faible protection des individus. Par exemple, de nombreuses personnes achètent des appareils connectés en oubliant de changer le mot de passe par défaut ; un peu comme s’ils laissaient les clés de leur maison sur la porte.

En outre, de nombreuses petites entreprises ne disposent toujours pas d’une cybersécurité solide. Dans certains cas, les pirates peuvent quasiment faire ce qu’ils veulent. Un exemple dramatique fut celui d’une entreprise piratée pendant 10 ans sans qu’elle s’en aperçoive. La seule bonne nouvelle est la mauvaise qualité des informations contenues, dans les bases de données. Comme : « Monsieur Martin123 vit à Paris en Thaïlande, numéro de passeport : ABCD. Carte de crédit : expirée, il y a cinq ans ». Une base de données avec autant d’erreurs n’est pas utile pour les criminels qui se retrouvent avec beaucoup d’informations mais fausses.

Une multiplication alarmante des cas

Bien entendu, les grandes entreprises sont clairement la cible des pirates informatiques qualifiés. Ces dernières années, de nombreuses sociétés ou leurs filiales ont été victimes de piratage, notamment Equifax, Yahoo, Facebook, Uber, eBay, Home Depot, FedEx, JP Morgan Chase.

Dans le nouveau piratage de Marriott, les pirates sont restés tranquillement quatre ans dans les systèmes informatiques pour siphonner ses bases de données et obtenir des informations sensibles sur 500 millions de clients. Pas de problème chez Marriott avec une nouvelle règle d’or : « voyager brillamment », protéger curieusement, se faire hacker magnifiquement.

Des feux verts pour les pirates

En regardant différents cas, les pirates semblent attendre des feux verts avant d’agir. Ainsi, chaque fois qu’une entreprise lance un nouveau produit à grande échelle sur un marché très concurrentiel, elle peut oublier la cybersécurité et, par conséquent, ce moment peut être une opportunité pour les pirates. En outre, la structure des organisations peut donner un signe favorable aux pirates. Lorsque le directeur des systèmes d’information est subordonné au directeur financier, une stratégie de réduction des coûts peut impliquer de faibles budgets en matière de cybersécurité. Lorsqu’un nouveau DG s’enorgueillit auprès des investisseurs de mesures de réduction des dépenses, les programmes de cybersécurité peuvent en souffrir et les pirates informatiques peuvent être les « bienvenus ».

L’affaire Marriott montre un autre exemple de drapeau vert : une nouvelle fusion ou une acquisition. Dans une telle situation, les cadres de l’entreprise sont occupés à se battre pour conserver leurs postes et à influencer la nouvelle entité, mais en même temps, la difficile intégration de différents systèmes d’information pose des problèmes de sécurité. Les pirates peuvent alors profiter de cette occasion pour s’introduire dans les systèmes.

Face à tant de problèmes de cybersécurité, on peut se demander ce que font les gouvernements. La défense par un État est très ardue, car le piratage informatique est le plus souvent transnational et difficile à repérer. Par exemple, la violation de Marriott vient d’être attribuée à des hackers liés au ministère chinois de la Sécurité d’État. Les pirates travaillant pour l’étranger et protégés par leurs gouvernements sont évidemment difficiles à attraper. Curieusement, les gouvernements peuvent aussi aider involontairement les pirates. Par exemple, lorsque la CERT (Computer Emergency Readiness Team) aux États-Unis a informé le monde entier d’un défaut sur Apache Struts, des pirates informatiques ont commencé à surfer sur Internet pour rechercher des victimes potentielles. Au même moment, le personnel d’Equifax n’a pas appliqué les correctifs nécessaires. C’est seulement après 76 jours et 9 000 requêtes (bien sûr, inaperçues) que le personnel d’Equifax al commencé à s’inquiéter d’une violation de données touchant plus de 150 millions de ses clients.

Pas de sécurité à 100 % sur Internet

Avec tant de succès des actes de piraterie, la question est : devons-nous nous inquiéter ? Comme l’indique le site Web Marriott :

« Nous cherchons à utiliser des mesures organisationnelles, techniques et administratives raisonnables pour protéger les données personnelles. Malheureusement, aucun système de transmission ou de stockage de données ne peut être sécurisé à 100 % ».

Comme le déclarent les cybers-experts de Marriott, aucune sécurité n’est possible à 100 %. Nous devrions donc être tous inquiets, car il n’existe aucun lieu sûr dans le cyberespace. Quelles que soient les couches techniques de sécurité, il y a toujours une erreur humaine à commettre que les pirates attendent patiemment.

This article was originally published in English