Le groupe britannique InterContinental a lancé une enquête interne à la suite de la découverte de données bancaires de clients utilisées hors de ses hôtels.
L’InterContinental Hotels Group est une société britannique forte de 5000 hôtels de part le monde. Des marques prestigieuses allant du Kimpton, en passant par Indigo, Even Hotels, HuaLuxe, Crowne Plaza ou encore les Holiday Inn. Bref, une marque présente dans 100 pays.
En France, on trouve des Crowne Plaza, Intercontinental et autres Holiday Inn à Lille, Marseille, Lyon, ou Cannes. Le plus connu étant l’InterContinental Carlton Cannes haut lieu people lors du festival du cinéma.
Le chercheur Krebs a eu vent de plusieurs enquêtes en cours concernant une probable fuite de données visant IHG, et plus précisément ses Holiday Inn sur le territoire américain. Voici le message officiel de la société hôtelière britannique à ce sujet :
« IHG takes the protection of payment card data very seriously. We were made aware of a report of unauthorized charges occurring on some payment cards that were recently used at a small number of U.S.-based hotel locations. We immediately launched an investigation, which includes retaining a leading computer security firm to provide us with additional support. We continue to work with the payment card networks.
We are committed to swiftly resolving this matter. In the meantime, and in line with best practice, we recommend that individuals closely monitor their payment card account statements. If there are unauthorized charges, individuals should immediately notify their bank. Payment card network rules generally state that cardholders are not responsible for such charges. »
Comme j’ai pu souvent le rappeler, les lieux de vacances ou professionnels sont de véritables nids de données pour les pirates. Je vous expliquais comment il était simple de mettre la main sur des informations sensibles dans les ordinateurs d’hôtels, mais aussi comment des pirates avaient pris le pouvoir dans l’informatique d’hôtels en Tunisie. Depuis quelques mois, les fuites de données et autres piratages s’accumulent comme nous avons pu le voir avec les Hotels Kimpton, Trump, Hilton, Mandarin Oriental, Starwood, Hyatt ou encore des hôtels basés sur l’Île Maurice.
Je vous révélais, en décembre 2015, une attaque massive à l’encontre d’hôtels de luxe. Un piratage qui a visé, en France, Le Hyatt Regency Paris Étoile, le Hyatt Paris Madeleine et le Grand Hyatt Cannes Hôtel Martinez. Des stars dans les données volées ?
Après les Hôtels Sheraton, Hilton et Le Méridien, c’est au tour du groupe hôtelier Hyatt d’être la cible d’une attaque informatique. Des pirates ont infiltré les machines en charge de la gestion du système de paiement de ses sites Internet du groupe hôtelier. Hyatt vient de diffuser les conclusions de son enquête interne. 250 hôtels ont été piratés dans 54 pays. Une attaque massive entre le 13 août et le 8 décembre 2015. Trois hôtels Français ont été touché (du 13 août au 14 octobre 2015) : le Hyatt Regency Paris Etoile, le Hyatt Paris Madeleine et le Grand Hyatt Cannes Hôtel Martinez.
Alors qu’en décembre 2015, Hyatt indiquait ne pas savoir si des données bancaires avaient été touchées. Un mois plus tard, il a été confirmé le vol, via les terminaux de paiement de restaurants, spas, parking, réceptions… des noms, numéros de carte bancaire, dates d’expiration, CVV, codes de vérification interne.
Après les Hôtels Sheraton, Hilton et Le Meridien, c’est au tour du groupe hôtelier Hyatt d’être la cible d’une attaque informatique.
L’hôtelier américain Hyatt a indiqué sur son site Internet avoir été la cible d’une attaque informatique d’envergure. Une enquête en cours a permis de découvrir que des ordinateurs de la marque américaine avait été infiltrés et qu’un code malveillant permettait l’accès aux informations internes et sensibles.
Dans son communiqué de presse Hyatt Hotels indique avoir identifié « récemment» un programme informatique malveillant dans des systèmes informatiques habituellement utilisés dans la gestion du système de paiement de ses sites Internet « Sitôt l’activité découverte, la société a lancé une enquête et engagé les meilleurs experts en sécurité,dixit Hyatt, Les clients peuvent avoir confiance quand ils utilisent une carte de paiement dans des hôtels Hyatt dans le monde ». Chuck Floyd, le président des opérations chez Hyatt, encourage les clients à surveiller de près leurs relevés bancaires. Sait-on jamais !
Les hôtels, cibles faciles pour les pirates
Comme je peux vous l’expliquer et démontrer depuis des années, les Hôtels, et leurs clients, sont des proies faciles pour les pirates informatiques. Poubelles, documents bancaires, ordinateurs sont quelques portes d’entrées faciles. Combien d’hôtels infiltrés sans que personne ne puisse le savoir ? Impossible à savoir. Les cas que je traite, via le protocole de zataz.com, sont de plus en plus nombreux à l’image de du Carthage Thalasso sur la côte Tunisienne. Des internautes annonçait avoir la main sur les ordinateurs de cet important établissement hôtelier.
Cheval de Troie, accès à l’administration, aux documents des employés. Autant de données revendus, ensuite, dans le blackmarket. Fin septembre, le Département de la Justice de l’État de Californie (DoJC) confirmait le piratage d’au moins sept hôtels du groupe Trump. Ici aussi, un code malveillant avait été découvert. Des Français impactés ? très certainement, à l’image de ceux touchaient par le piratage de 10 hôtels du groupe Mandarin Oriental ou encore cette révélation concernant plusieurs dizaines d’Hôtels de part le monde dans lesquels j’avais pu découvrir des données privées et sensibles appartenant à des entreprises Françaises. Documents oubliés par des vacanciers, dans les ordinateurs en accès libres des hôtels visités.
Durant mes différents déplacements à l’étranger, j’aime me promener dans les espaces informatiques mis à disposition par les hôtels. De beaux ordinateurs des hôtels connectés à Internet, gratuitement. Si l’idée est intéressante, elle permet de rester connecter avec la famille, ses emails, la dangerosité de l’occasion offerte est à rappeler. Depuis le mois de juin, j’ai eu la chance de me promener par « monts et par vaux » pour zataz.com, zatazweb.tv, datasecuritybreach.fr ou mes employeurs, de l’Espagne au Maroc en passant par la Tunisie, l’Angleterre, la Belgique ou encore l’Île Maurice et le Québec. Dans les hôtels qui ont pu m’accueillir, des connexions web (payantes et/ou gratuites) et des machines mises à disposition. PC ou Mac, bref, des liens de connexion avec son monde familial… ou professionnel. Aussi paranoïaque que je puisse éviter de l’être, il ne me viendrait pas à l’idée de me connecter à ces machines pour le travail. A première vue, beaucoup de « vacanciers » ou « d’employés » n’ont pas mes craintes.
Il est mignon Monsieur Pignon…
Du 1er juin 2013 au 24 octobre 2013 j’ai pu étudier 107 ordinateurs en accès libres. 37 Mac et 70 PC. J’ai pu mettre la main sur 25.811 documents que je considère comme sensibles. Sensibles car ils auraient pu permettre à un pirate informatique, je ne parle même pas de l’ambiance « Les services secrets étrangers nous surveillent », d’identifier et usurper une identité, une fonction, des projets professionnels.
Ci-dessous, quelques documents que j’ai pu croiser. Il s’agit, ici, de captures d’écrans effectuées avec mon appareil photo. L’ensemble des fichiers ont été effacés après mes découvertes et les directions des hôtels alertées, histoire de coller quelques affiches, ici et là, sur les mesures que les clients devraient prendre lors de leurs pérégrinations informatiques.
En déplacement, sortez armés lors de l’utilisation des ordinateurs des Hôtels
Je peux comprendre, je suis le premier concerné, qu’en déplacement, le besoin de rester connecter se fait rapidement sentir. Un petit coucou à la famille restée à la maison, aux courriels du patron ou quelques mises à jour sur son site web et autres blogs. Seulement, il n’est pas toujours évident de se promener avec son ordinateur portable sous le bras. Si c’est le cas, voyez nos méthodes de sécurisation physiques et numériques de votre – Précieux -. Prudence, aussi, aux connexions wifi offertes dans les hôtels. Dans la foulée de mes voyages, se promènent toujours avec moi, mes Pirates Box @zataz. Pourtant baptisées PirateBox, donc de quoi inquiéter ceux qui ne connaissent pas cette merveilleuse petite amie numérique, j’ai pu découvrir pas moins de 54.291 fichiers privés (80% de photos, ndlr) téléchargés par des inconnus. Je vous passe la possibilité malveillante d’une PirateBox Man-in-the-middle s’annonçant comme un « Hotel-Free-Wifi » ou « Starbux-Wifi-Free« . Il ne reste plus qu’à collecter les données sensibles transitant entre le « touriste » et le site qu’il visite. Pour éviter de se voir gober comme un gros Ananas, la sécurisation de vos connexions est une obligation. Un service VPN est indispensable en déplacement.
Nous utilisons pour ZATAZ, DataSecurityBreach ou pour mes autres employeurs l’excellent VyprVPN, ainsi que de nombreux systèmes d’anonymisation et chiffrement de données. Présent sur les 5 continents, plus de 200.000 IP et un pare-feu NAT loin d’être négligeable. Les pirates et les bots malveillants cherchent sur Internet les appareils non protégés qu’ils peuvent utiliser pour le vol d’identité et les messages indésirables. Ils accèdent à votre système par les connexions Internet qui sont ouvertes sur vos applications. En utilisant ces connexions, ils peuvent installer des malwares et voler vos informations personnelles. Le pare-feu NAT empêche leur recherche d’atteindre votre appareil ou ordinateur quand vous vous connectez avec VyprVPN. Autre service, celui-ci est Français, ActiVPN.
Ordinateurs des Hôtels
Autres solutions, chiffrer vos informations communiquées. OpenPGP, GPG, … sont d’excellents outils qui en cas d’oubli de fichiers dans une machine étrangère (chose impensable, mais bon, ndlr datasecuritybreach.fr) évitera qu’un inconnu puisse y accéder. Nous finirons avec l’outil de la société française Gith Security Systems. Elle tente d’offrir une réponse en proposant «Gith», la première plateforme gratuite de communications sécurisées sur Internet, destinée au grand public, PME et professions libérales. Pour simplifier le processus, Gith se présente sous la forme d’une application à installer, disponible sous Windows, Mac OS, Linux et prochainement iPhone/Android. Gith permet d’échanger des Emails, partager des documents («Cloud sécurisé») et faire du chat avec les autres utilisateurs. Une sécurité bien présente, mais totalement invisible. Toutes les données sont chiffrées de bout en bout, avec les meilleurs algorithmes actuels (RSA 2048, AES 256). Même en cas de vol de votre ordinateur ou infection par un virus, vos données sont inaccessibles : elles sont stockées chiffrées sur votre machine. La sauvegarde de votre clef secrète de chiffrement sous forme de QRCode vous permet facilement d’importer votre compte sur un autre ordinateur ou votre smartphone ! Nous utilisons cette solution. Elle mérite clairement d’être découverte et exploitée. A noter que Gith a été sélectionné pour l’opération 101 projets de Xavier Niel, Marc Simoncini et Jacques-Antoine Granjon. Le 18 novembre, présentation de Gith, en 1 minute, et tenter de décrocher 25k € de financement.
Bref, mes solutions de protection de vos données, en déplacement, ne sont pas infaillibles, mais devraient vous rappeler que le libre accès n’est pas la meilleure idée pour vos données privées. Et les ordinateurs des Hôtels font parti de ces fuites potentielles.
Fuites de données : la réputation des entreprises en danger via les ordinateurs des Hôtels
La grande majorité des entreprises qui doivent faire face à un problème de sécurité sont contraintes de révéler publiquement cette information, comme le révèle l’étude Global Corporate IT Security Risks 2013 menée par Kaspersky Lab auprès de 2 895 organisations à travers le monde. Les résultats sont sans appel. 44% des entreprises ayant été victime d’une fuite de données sont dans l’obligation d’informer leurs clients de l’incident, 34% informent leurs partenaires, 33% informent leurs fournisseurs, 27% remontent les fais à un organisme de contrôle ou de régulation, 15% doivent en informer les médias. A l’échelle mondiale, les grandes entreprises seraient les plus touchées. La législation change en faveur des internautes comme nous la nouvelle directive européenne votée le 12 août dernier.
Que s’est-il passé lors lors de l’EPT de Barcelone. Au moins trois joueurs professionnels de poker, qui logeaient dans l’Hôtel ARTS ont vu leurs ordinateurs portables disparaitre, pu revenir dans la chambre de leurs propriétaires respectifs. Les victimes, Jens Kyllönen, Ignat Liviu et Aku Joentausta ont découvert qu’une personne avait tenté d’installer un logiciel espion dans leurs machines. DataSecurityBreach.fr vous rappelle que Kyllönen est l’un des plus importants joueurs de poker du web.
Ignat Liviu a expliqué sur le forum 2+2 sa mésaventure : « la même chose nous est arrivée à Ignat et moi, nos clés de chambre ne fonctionnait plus, nous descendons à la réception, lorsque nous sommes remontés nos ordinateurs avaient disparu. Le temps de retourner à la réception pour signaler le vol, remonter dans notre chambre, nos machines étaient miraculeusement réapparu. » Du côté de l’Hôtel, une enquête est en cours.
Que vous soyez joueur de poker ou non, dans un hôtel, un ordinateur portable n’a pas à trainer sur une table. Voici quelques trucs que DataSecurityBreach.fr utilise en déplacement :
– Ranger votre machine dans le coffre de votre chambre.
– Retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons, il existe des prises qui permettent d’être scindée en trois parties. De quoi retarder le pirate.
– Changer votre mot de passe de portable et mettez un mot de passe au bios de votre machine. Le mot de passe bios vous évitera la modification de lancement de votre machine, vers une clé USB ou CD boot casseur de mot de passe. [Voir comment cracker le mot de passe de n’importe quel Windows en 30 secondes].
– Chiffrer les informations sensibles ou le disque dur de votre ordinateur.
– Utiliser un câble antivol.
– N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire.
– Nous prenons en photo les vis des disques durs de nos portables. Si ces dernières ont bougés, ont été déplacées, vous pourrez vous en rendre compte.
– Un antivirus mis à jour obligatoire.
– Utiliser un VPN pour vos connexions.
– Nous employons aussi une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement dans la zone surveillée est détecté.
Si aucune de ces solutions proposées par zataz.com ne vous convient, gardez votre machine à vos côtés.
Ps : DataSecurityBreach.fr ne peut proposer l’url du forum américain 2+2 considéré comme interdit sur le territoire français par l’ARJEL. Ce forum propose des liens et des tournois de pokers vers des casinos illicites sur le territoire hexagonal.