Piratage Hilton : le scénario catastrophe se confirme

Sécurité
piratage-hilton-confirme

Le piratage d’Hilton n’est plus à mettre au conditionnel. Le groupe hôtelier a confirmé avoir détecté – et supprimé – un malware sur certains terminaux de paiement.

Brian Krebs avait vu juste sur le cas Hilton.

Le blogueur spécialiste de la sécurité informatique avait tiré la sonnette d’alarme fin septembre, affirmant que la chaîne hôtelière se trouvait probablement à la racine d’une fraude à la carte de crédit. Il craignait que des pirates soient parvenus à compromettre les systèmes de caisse dans plusieurs enseignes du groupe.

Ces inquiétudes sont confirmées : dans un communiqué émis ce 24 novembre, Hilton annonce avoir découvert, « sur un certain nombre de terminaux de paiement », un malware spécialisé dans le vol de données bancaires.

L’entreprise cotée en Bourse se montre peu évasive : tout au plus assure-t-elle avoir « pris des mesures » pour supprimer ledit malware et renforcé la sécurité de son SI, tout en lançant une enquête en collaboration avec les autorités et les principaux émetteurs de cartes bancaires.

L’avertissement diffusé par Brian Krebs était basé sur une alerte confidentielle émise au mois d’août par Visa à l’adresse de plusieurs institutions financières. Elle faisait état d’une « faille dans une enseigne physique » restée exploitable a minima entre le 21 avril et le 27 juillet 2015. Des dates confirmées par Hilton.

L’alerte en question été assortie d’une liste de numéros de cartes bancaires potentiellement exfiltrés dans le cadre de ce hack. Lequel a également exposé, selon Hilton, des noms de clients. Mais pas leurs adresses, ni d’éventuels codes de sécurité.

Hack au restaurant

Dans quelle mesure les diverses propriétés du groupe (Waldorf Astoria, Conrad, Curio, DoubleTree, Embassy Suites, Homewood, Grand Vacations…) ont-elles été touchées ? Ce n’est pas clair. Hilton annonce toutefois, dans la foire aux questions mise en ligne pour l’occasion, que « des restaurants et des boutiques de souvenirs » sont concernés.

C’est, là encore, ce qu’avait suggéré Brian Krebs. Excluant en l’occurrence les systèmes de caisse à l’accueil des hôtels, il évoquait une compromission des terminaux de paiements dans certains magasins franchisés… sur lesquels Hilton n’a que peu de contrôle.

Visa n’avait pas expressément cité Hilton dans sa communication à destination des banques. Mais ces dernières avaient fini par faire la jonction avec la chaîne hôtelière.

À l’époque, il se murmurait que l’incident remontait à novembre 2014. On peut considérer qu’Hilton l’a confirmé : tous les clients ayant séjourné dans l’un de ses établissements entre le 18 novembre et le 5 décembre 2014 sont invités à « surveiller leurs comptes bancaires », sur lesquels des prélèvements frauduleux pourraient avoir été effectués. Ceux qui ont réservé au moins une nuitée entre le 21 avril et le 27 juillet 2015 sont également concernés.

On tient là une cyberattaque dont l’ampleur potentielle égale, voire dépasse le piratage subi le mois dernier par les clients de T-Mobile US. L’opérateur n’avait pas été directement visé : c’est son partenaire Experian (vérifications de solvabilité) qui l’avait été.

Le bilan était encore plus lourd cet été dans le cadre de l’attaque menée contre AshleyMadison.com (groupe Avid Life Media). Plus de 37 millions de membres du site de rencontres extraconjugales auraient vu leurs données aspirées, en plus d’éléments financiers sur l’entreprise et de code source.

Crédit photo : Nessluop – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur