Sécurité IT : Hilton piraté comme Target et Home Depot ?

Clément Bohic,
E-paiementMarketingSécurité
piratage-hilton

Des pirates seraient parvenus à compromettre les systèmes de caisse de plusieurs enseignes du groupe Hilton. Assez pour récupérer des données bancaires.

L’étau se resserre sur Hilton. La chaîne hôtelière pourrait se trouver à la racine d’une fraude à la carte de crédit.

En pointe ces derniers mois sur des sujets comme le Sony Hack et l’affaire Home Depot, Brian Krebs tire la sonnette d’alarme.

Le blogueur spécialisé en sécurité IT a eu vent d’une alerte confidentielle émise au mois d’août par Visa à l’adresse de plusieurs institutions financières. Cet avertissement faisait état d’une « faille dans une enseigne physique » restée exploitable a minima entre le 21 avril et le 27 juillet 2015.

L’alerte en question était assortie d’une liste de numéros de cartes bancaires… dont un grand nombre avaient, selon Brian Krebs, été utilisées auparavant dans des propriétés du groupe Hilton : Embassy Suites, Doubletree, Hampton Inn and Suite, Waldorf Astoria Hotels & Resorts, etc.

Les systèmes de caisse à l’accueil des hôtels ne sont a priori pas concernés. On s’oriente plutôt vers une compromission des terminaux de paiement dans certains restaurants, bars et magasins de souvenirs, franchisés pour la plupart (et sur lesquels Hilton n’a donc que peu de contrôle).

Visa n’a pas expressément cité Hilton dans sa communication à destination des banques. Mais ces dernières ont fini par faire la jonction avec la chaîne hôtelière : cinq d’entre elles l’ont confirmé à Brian Krebs.

Du côté des principaux intéressés, l’incertitude règne. L’incident pourrait remonter à novembre 2014 et la vulnérabilité, être toujours activement exploitée. Bilan : l’heure est aux investigations, sans plus de détails en l’état actuel.

Dans la lignée des piratages subis successivement par Target et Home Depot, cet épisode illustre la fragilité des cartes bancaires à bande magnétique utilisées outre-Atlantique. Il donne surtout du crédit à des solutions comme Apple Pay et Android Pay, qui dématérialisent la CB et s’appuient sur le principe de « tokenisation » pour ne jamais communiquer le numéro de carte aux commerçants en points de vente physiques.

Crédit photo : alice-photo – Shutterstock.com

Lire aussi :

Facebook et les mots de passe : le chiffrement, c’est pas automatique

Ransomware à San Francisco : l’auteur présumé pris à son propre jeu

Piratage chez Oracle : alerte rouge en points de vente ?

Clément Bohic
Auteur : Clément Bohic
Lire la biographie de l´auteur  Masquer la biographie de l´auteur