Devant le Sénat, Arne Sorenson a fourni de plus amples détails quant au vol des données de Starwood, une chaîne hôtelière propriété de Marriott, révélé en fin d’année dernière.
Témoignant devant le comité du Sénat américain en charge de la sécurité nationale la semaine dernière, Arne Sorenson, le CEO de Marriott, a livré le post-mortem de l’attaque dont le groupe hôtelier a été victime. En décembre dernier, le géant de l’hôtellerie révélait avoir détecté une tentative d’accès à la base de données de réservation de Starwood, une autre chaîne hôtelière rachetée en 2016.
C’est Accenture, gérant ladite base de données, qui a tiré en septembre 2018 le signal d’alarme. Guardium, un outil IBM d’alertes de sécurité, avait en effet détecté une requête anormale d’un administrateur à la base de données. « Dans le cadre de notre enquête sur l'alerte, nous avons appris que la personne dont les informations d'identification avaient été utilisées n'était pas à l’origine de la requête » explique Arne Sorenson.
RAT et Mimikatz
Début de panique. Dix jours plus tard, après avoir mis en place les mesures de confinement et de contrôle qui s’imposaient, les services informatiques de Marriott découvrent un Remote Access Trojan dans le système de Starwood. Début octobre, les enquêteurs mettent au jour sur certains systèmes des preuves de la présence de malware, y compris MimiKatz, outil tristement célèbre pour servir aussi bien aux chercheurs en sécurité qu’aux hackers. Malgré la preuve qu’un tiers non autorisé ait eu accès au réseau de Starwood depuis 2014, rien n’indiquait alors qu’il ait pu compromettre les données des clients du groupe hôtelier.
Mi-novembre, retournement de situation : les équipes découvrent que « deux fichiers compressés et chiffrés avaient été supprimés d'un périphérique qu'ils examinaient ». Une semaine plus tard, il s’avère que les fichiers une fois déchiffrés contiennent une table de la base de données de réservation Starwood et l'export d'une table contenant des informations de passeport. Deux autres tables de la base de données de réservation ont également été copiées entre 2015 et 2016, mais Marriott n’a pas été en mesure de déterminer si oui ou non les attaquants s’en étaient emparés.
Pas de revendication
Arne Sorenson en profite pour mettre à jour quelques chiffres. Au total, ce sont 18,5 millions de numéros de passeport chiffrés et 5,25 millions de numéros de passeport non chiffrés qui sont tombés entre les mains des hackers, ainsi que 9,1 millions de numéros de cartes de paiement chiffrés, dont environ 385000 n'étaient pas expirées en septembre 2018. Pour l’heure, les différents enquêteurs planchant sur cette affaire n’ont pas détecté de tentatives de fraude sur la base des données dérobées, ni de leur mise en vente sur le « dark web » ou autres.
Quant à l’attribution, le CEO a bien entendu été interrogé sur la question, d’autant que Mick Pompeo, le secrétaire d’Etat américain, a assuré dans une interview à la Fox que la Chine était à l’origine de l’attaque. Un point sur lequel Arne Sorenson ne s’avance pas. « La réponse courte est que nous ne le savons pas » rétorque-t-il. « Je ne suis pas à même de tirer des conclusions à partir des informations que nous avons obtenues ».