Les hackers ont trouvé la faille pour cyberattaquer les chaînes hôtelières : ils passent par les bureaux de réception, les boutiques de souvenirs ou les restaurants aux structures informatiques très légères, déportées, et mal sécurisées.
Coup dur pour l’hôtellerie de luxe. Après la chaîne Starwood, un important groupe hôtelier et de loisirs avec plus de 1 200 sites dans plus de 100 pays et 180 400 salariés, dont le système informatique en Amérique du nord a subi une attaque visant à obtenir les données bancaires de clients, au tour du groupe Hilton qui possède de nombreuses marques (Waldorf Astoria, Conrad, Curio, DoubleTree, Embassy Suites, Homewood, Grand Vacations…) d’être la victime d’une cyberattaque. Un malware spécialisé dans le vol de données bancaires a en effet été découvert sur un certain nombre de terminaux de paiement. Comme Starwood qui affirme que des restaurants, des boutiques de souvenirs et des points de ventes de ses hôtels ont été particulièrement visés, Hilton indique que des restaurants et des boutiques de souvenirs de son groupe sont concernés par cette cyberattaque. L’attaque s’est déroulée en deux temps, selon le groupe. D’abord avec l’installation d’un logiciel malveillant du 18 novembre au 5 décembre 2014. Suivi d’une attaque du 21 avril au 27 juillet 2015. Le groupe ne précisant pas si les deux attaques ont été commises par les mêmes pirates. « Hilton Worldwide est parvenu à déterminer que le logiciel malveillant ciblait des informations spécifiques des cartes de paiement », indique Hilton dans un communiqué. Visés : les noms, les numéros, les codes de sécurité et les dates d’expiration. Mais aucune adresse personnelle, ni aucun code pin n’ont été volés, assure le groupe hôtelier.
Des dispositifs d’accès et de sécurité très légers, disparates et hétérogènes
Pour Bernard Girbal, vice-président Continental Europe chez Hexis Cyber Solutions, que nous avons interrogé sur ces deux cas de cyberpiratage « Les hackers se sont concentrés sur des « points de ventes ». Il nous explique que les architectures informatiques des hôtels sont très ressemblantes en effet à celles des points de vente des grandes chaines de distribution, d’une boutique X, Y, d’un bureau de poste…. Quelques PC et imprimantes pour l’accueil, l’enregistrement, faire les cartes des chambres, réaliser des paiements avec carte de crédit… les structures mises en place sont très légères, déportées, et sont mal sécurisées, car on les veut les moins chères et les plus simples possibles à installer et utiliser. Si les hackers s’attaquent plus particulièrement à ces points de vente c’est bien qu’ « ils représentent une entrée facile dans le réseau global. Les dispositifs d’accès et de sécurité déployés sont souvent très légers, disparates et hétérogènes (firewalls, antivirus, etc.) dans leurs natures et dans leurs lieux d’installation et ne résolvent pas le danger global, soutient-il. Souvent, ils sont soit vieux – on ne les change pas toutes les 5 minutes – soit d’entrée de gamme car il n’y a aucune compétence locale et que les produits intelligents sont difficiles à configurer. »