L’étau se resserre sur Hilton. La chaîne hôtelière pourrait se trouver à la racine d’une fraude à la carte de crédit.
En pointe ces derniers mois sur des sujets comme le Sony Hack et l’affaire Home Depot, Brian Krebs tire la sonnette d’alarme.
Le blogueur spécialisé en sécurité IT a eu vent d’une alerte confidentielle émise au mois d’août par Visa à l’adresse de plusieurs institutions financières. Cet avertissement faisait état d’une « faille dans une enseigne physique » restée exploitable a minima entre le 21 avril et le 27 juillet 2015.
L’alerte en question était assortie d’une liste de numéros de cartes bancaires… dont un grand nombre avaient, selon Brian Krebs, été utilisées auparavant dans des propriétés du groupe Hilton : Embassy Suites, Doubletree, Hampton Inn and Suite, Waldorf Astoria Hotels & Resorts, etc.
Les systèmes de caisse à l’accueil des hôtels ne sont a priori pas concernés. On s’oriente plutôt vers une compromission des terminaux de paiement dans certains restaurants, bars et magasins de souvenirs, franchisés pour la plupart (et sur lesquels Hilton n’a donc que peu de contrôle).
Visa n’a pas expressément cité Hilton dans sa communication à destination des banques. Mais ces dernières ont fini par faire la jonction avec la chaîne hôtelière : cinq d’entre elles l’ont confirmé à Brian Krebs.
Du côté des principaux intéressés, l’incertitude règne. L’incident pourrait remonter à novembre 2014 et la vulnérabilité, être toujours activement exploitée. Bilan : l’heure est aux investigations, sans plus de détails en l’état actuel.
Dans la lignée des piratages subis successivement par Target et Home Depot, cet épisode illustre la fragilité des cartes bancaires à bande magnétique utilisées outre-Atlantique. Il donne surtout du crédit à des solutions comme Apple Pay et Android Pay, qui dématérialisent la CB et s’appuient sur le principe de « tokenisation » pour ne jamais communiquer le numéro de carte aux commerçants en points de vente physiques.
Crédit photo : alice-photo – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…