Fuite de données Marriott: passeports non chiffrés

Marriott a déclaré aujourd'hui que des équipes d'analystes judiciaires et de données avaient identifié «environ 383 millions d'enregistrements comme limite supérieure» pour le nombre total d'enregistrements de réservations de clients perdus. La société affirme toujours qu'elle n'a aucune idée de l'auteur de l'attaque et a suggéré que ce chiffre diminuerait avec le temps à mesure que davantage d'enregistrements en double seraient identifiés.

Ce qui a rendu l'attaque de Starwood différente, c'est la présence de numéros de passeport, ce qui pourrait permettre à un service de renseignement de suivre beaucoup plus facilement les personnes qui traversent les frontières. C'est particulièrement important dans ce cas: en décembre, le New York Times a rapporté que l'attaque faisait partie d'un effort chinois de collecte de renseignements qui, remontant à 2014, a également piraté les assureurs-maladie américains et l'Office of Personnel Management, qui assure dossiers de dédouanement sur des millions d'Américains.

Jusqu'à présent, il n'y a aucun cas connu dans lequel des informations de passeport ou de carte de crédit volées ont été trouvées dans des transactions frauduleuses. Mais pour les enquêteurs de cyberattaques, ce n'est qu'un autre signe que le piratage a été mené par des agences de renseignement et non par des criminels. Les agences souhaiteraient utiliser les données à leurs propres fins - créer des bases de données et suivre les cibles de surveillance gouvernementales ou industrielles - plutôt que d'exploiter les données à des fins de profit économique.

Pris dans son ensemble, l'attaque semblait faire partie d'un effort plus large du ministère chinois de la Sécurité d'État pour compiler une énorme base de données d'Américains et d'autres personnes ayant des positions sensibles du gouvernement ou de l'industrie - y compris où ils travaillaient, les noms de leurs collègues, contacts étrangers et amis. , et où ils voyagent.

«Les mégadonnées sont la nouvelle vague du contre-espionnage», a déclaré le mois dernier James A. Lewis, un expert en cybersécurité qui dirige le programme de politique technologique au Center for Strategic and International Studies de Washington.

Marriott International a déclaré que moins de dossiers de clients avaient été volés qu'on ne le craignait initialement, mais a ajouté que plus de 25 millions de numéros de passeport avaient été volés lors de la cyberattaque du mois dernier. La société a déclaré aujourd'hui que le plus grand piratage d'informations personnelles de l'histoire n'était pas aussi important qu'on le craignait, mais a admis pour la première fois que son unité hôtelière Starwood n'avait pas chiffré les numéros de passeport d'environ 5 millions de clients. Ces numéros de passeport ont été perdus lors d'une attaque qui, selon de nombreux experts extérieurs, a été menée par les agences de renseignement chinoises.

Lorsque l'attaque a été révélée pour la première fois par Marriott à la fin du mois de novembre, il a déclaré que des informations sur plus de 500 millions de clients avaient peut-être été volées, le tout dans la base de données de réservations de Starwood, une grande chaîne d'hôtels que Marriot avait acquise. Mais à l'époque, la société avait déclaré que ce chiffre était le pire des cas, car il incluait des millions d'enregistrements en double.

Le chiffre révisé est toujours la plus grande perte de l'histoire, supérieure à l'attaque contre Equifax, l'agence d'évaluation du crédit à la consommation, qui a perdu le permis de conduire et les numéros de sécurité sociale d'environ 145.5 millions d'Américains en 2017, entraînant l'éviction de son directeur général. et une énorme perte de confiance dans l'entreprise.

Un haut fonctionnaire du ministère chinois de la Sécurité d'État a été arrêté en Belgique à la fin de l'année dernière et extradé vers les États-Unis pour avoir joué un rôle central dans le piratage d'entreprises américaines liées à la défense, et d'autres ont été identifiés dans un acte d'accusation du ministère de la Justice en Décembre. Mais ces cas n'étaient pas liés à l'attaque de Marriott, sur laquelle le FBI enquête toujours.

La Chine a nié avoir eu connaissance de l'attaque de Marriott. En décembre, Geng Shuang, un porte-parole de son ministère des Affaires étrangères, a déclaré: «La Chine s'oppose fermement à toutes les formes de cyberattaque et la sévit conformément à la loi».

"Si des preuves sont présentées, les départements chinois concernés mèneront des enquêtes conformément à la loi", a ajouté le porte-parole.

L'enquête de Marriott a révélé une nouvelle vulnérabilité dans les systèmes hôteliers: qu'advient-il des données de passeport lorsqu'un client effectue une réservation ou s'enregistre dans un hôtel, généralement à l'étranger, et remet un passeport à l'employé de la réception. Marriott a déclaré pour la première fois que 5.25 millions de numéros de passeport étaient conservés dans le système Starwood dans des fichiers de données simples et non cryptés, ce qui signifie qu'ils étaient facilement lus par quiconque dans le système de réservation. 20.3 millions de numéros de passeport supplémentaires ont été conservés dans des fichiers cryptés, dont la lecture nécessiterait une clé de cryptage principale. On ne sait pas combien de ces personnes impliquaient des passeports américains et combien provenaient d'autres pays.

«Il n'y a aucune preuve que le tiers non autorisé ait accédé à la clé de chiffrement principale nécessaire pour déchiffrer les numéros de passeport chiffrés», a déclaré Marriott dans un communiqué.

On ne savait pas immédiatement pourquoi certains numéros étaient cryptés et d'autres non - à part le fait que les hôtels de chaque pays, et parfois chaque propriété, avaient des protocoles différents pour traiter les informations du passeport. Les experts du renseignement notent que les agences de renseignement américaines recherchent souvent les numéros de passeport des étrangers qu'elles suivent en dehors des États-Unis - ce qui peut expliquer pourquoi le gouvernement américain n'a pas insisté pour un cryptage plus strict des données de passeport dans le monde entier.

Interrogée sur la manière dont Marriott traitait les informations maintenant qu'il a fusionné les données de Starwood dans le système de réservation de Marriott - une fusion qui vient de s'achever à la fin de 2018 - Connie Kim, une porte-parole de l'entreprise, a déclaré: «Nous examinons notre capacité à déménager. au cryptage universel des numéros de passeport et travaillera avec nos fournisseurs de systèmes pour mieux comprendre leurs capacités, ainsi que pour passer en revue les réglementations nationales et locales applicables. »

Le département d'État a publié le mois dernier une déclaration disant aux détenteurs de passeport de ne pas paniquer car le numéro à lui seul ne permettrait pas à quelqu'un de créer un faux passeport. Marriott a déclaré qu'il paierait un nouveau passeport pour toute personne dont les informations de passeport, piratées à partir de leurs systèmes, auraient été impliquées dans une fraude. Mais c'était en quelque sorte un tour de passe-passe d'entreprise, car il ne fournissait aucune couverture aux clients qui voulaient un nouveau passeport simplement parce que leurs données avaient été prises par des espions étrangers.

Jusqu'à présent, la société a évité de s'attaquer à ce problème en affirmant qu'elle n'avait aucune preuve de l'identité des attaquants, et les États-Unis n'ont pas officiellement accusé la Chine dans cette affaire. Mais les groupes de cyberintelligence privés qui se sont penchés sur la brèche ont constaté des parallèles forts avec les autres attaques liées à la Chine en cours à l'époque. Le président-directeur général de la société, Arne Sorenson, n'a pas répondu aux questions sur le piratage en public, et Marriott a déclaré qu'il voyageait et a refusé une demande du Times de parler de piratage.

La société a également déclaré qu'environ 8.6 millions de cartes de crédit et de débit étaient «impliquées» dans l'incident, mais elles sont toutes cryptées - et toutes sauf 354,000 cartes avaient expiré en septembre 2018, lorsque le piratage, qui a duré des années, a été découvert.