Vous êtes dans la rubrique : Technologie
mardi 21 janvier 2020

Fuite de données de carte de paiement chez Gekko ou Catch : personne n’est à l’abri !

 

Sale coup pour le groupe Accor qui voit une seconde filiale impliquée dans une fuite de données de carte de paiement. En effet, comme l’explique l’enquête du Parisien, sa filiale GEKKO dédiée au voyage d’affaires avait un problème de sécurité qui a été relevé par vpnMentor le spécialiste israélien de la cybersécurité.

L’historique de la fuite Gekko rapporté par vpnMentor

Le 7 novembre 2019, vpnMentor a réussi à pénétrer les systèmes informatiques de Gekko et à accéder à 1 téraoctet [1] de données contenues sur des serveurs hébergés chez OVH.

Le 7 novembre, vpnMentor a tenté de prévenir le groupe Accor Hôtels et son DPO [2].

Le 10 novembre, vpnMentor a tenté une seconde approche : ils ont contacté Gekko.

Le 13 novembre, Gekko a réglé le problème.

On ne peut pas dire qu’il y a ait diligence chez Gekko alors que le volume et surtout le type de données compromises étaient importants :

  • 1 To de données
  • les informations de 130.000 à 140.000 voyageurs

Et ces données comportaient :

  • des données de réservations
  • des adresses, majoritairement professionnelles
  • des données financières
  • des données de 900 cartes de crédit, heureusement limité au regard du volume de réservations concernées
  • des identifiants de connexion
Contenu sponsorisé :

Gekko victime ou responsable ?

La CNIL alertée sur le sujet devra rendre une décision dans les prochains mois.

Il existe cependant des circonstances qui ne plaident pas pour Gekko :

  • la récente attaque d’une autre filiale du groupe en 2018 (voir Fastbooking : une faille de sécurité touche potentiellement des centaines de milliers de clients d’hôtels) aurait du engendrer une forme de paranoïa dans le groupe Accor, ce qui n’est pas le cas vu le côté basique du problème
  • le temps de réponse entre le 7 et le 13 novembre a été anormalement long pour fermer un ou des ports [3]
  • pour l’anecdote, le certificat https du site gekko-holding.com est invalide. Ça peut arriver, néanmoins c’est peu acceptable dans un grand groupe !

Aux Etats Unis, Catch Hospitality Group a signalé un problème

Le 22 novembre 2019, Catch a publié une alerte indiquant qu’un problème était survenu dans ses établissements Catch NYC (fuite du 19 mars 2019 au 17 octobre 2019) et Catch Steak (fuite du 17 septembre 2019 au 17 octobre 2019).

Des chiffres hallucinants ailleurs

En juillet 2019, l’émetteur américain de carte de crédit Capital One Financial Corp. a subi une fuite de données de carte de paiement de 106 millions d’utilisateurs, rejoignant le TOP5 des plus grosses attaques, le numéro étant Heartland Systems en 2009 avec 160 millions de cartes.

La culture du secret en cas de fuite ou de demande de rançon

Les femmes ont réussi à enfin dire les choses avec le mouvement #metoo, mais les entreprises refusent de communiquer sur les attaques informatiques malveillantes.

Malgré les nombreuses demandes effectuées auprès de Fastbooking, aucun élément précis n’a été communiqué. Attendons de voir si Gekko va faire un état des lieux post-crise.

Parmi les rares témoignages, celui de Fleury Michon lors d’une attaque ayant bloqué la production est instructif, sans être technique.

Tout le monde est concerné par les attaques malveillantes

Toute entreprise ou personne qui dispose d’un ou plusieurs outils informatique (physique, virtuel, cloud...) est potentiellement sujette à une attaque. Par exemple sur les serveurs web de TendanceHotellerie, les attaques sont

  • d’environ 200 par heure en moyenne et par machine, pour accéder en mode ssh (en ligne de code) à l’administration des machines. Le pic a été d’environ 15.000 sur une seule journée.
  • d’environ 300 à 400 tentatives d’intrusion/compromission par heure et par machine (avec des pics à plus de 1.500 par heure) sur les applicatifs (outil de gestion de contenu, régie publicitaire, outil d’analyse, outils d’optimisation, outil de marketing...) : tentative d’accéder avec login/password, tentative d’injection de code malveillant, ... sans compter des « simples » tentatives de spam

Il est important de se souvenir que TH ne détient quasiment aucune donnée personnelle et surtout pas de données de paiement ! Imaginez les volumes d’attaques sur des machines contenant des données financières....

Le prédateur attaque le point faible

Dans la savane, les prédateurs attaquent les plus faibles, jamais les plus forts !

C’est exactement la même chose pour la sécurité informatique : les vilains cherchent le(s) point(s) faible(s) et c’est à partir de cette brèche dans la clôture qu’ils vont pouvoir attaquer les autres systèmes internes.

Quels enseignements pour l’hôtellerie ?

Le meilleur moyen de ne pas se faire voler de données de carte de paiement est de ne pas les stocker !!!

Néanmoins les hôteliers sont encore très nombreux à bidouiller (manuellement NDLR) la carte du client. Les prestataires impliqués dans la collecte (OTAs, moteurs de réservation) ont fait des efforts colossaux et particulièrement onéreux pour sécuriser les données de carte de paiement. En aval de la collecte, il ne devrait en théorie ne plus y avoir de traitement manuel ni surtout de visualisation de ces données. Hélas...

Des systèmes totalement intégrés existent et la réponse des hôteliers est la même : oui mais ça coûte des sous. C’est pourtant infiniment moins cher que l’amende de la CNIL ou la mise en application de la responsabilité d’un hôtel devant une juridiction le jour où un problème survient.

On connaît tous la phrase de circonstance : Celui qui croît qu’un professionnel coûte cher, n’a aucune idée de ce que peut lui coûter un incompétent !.

Les 10 règles de bon sens en hôtellerie

  1. se rappeler que ça n’arrive pas qu’aux autres
  2. ne pas stocker des données personnelles qui ne présentent pas d’intérêt
  3. faire appel à un professionnel pour le réseau informatique : gérer la sécurité ne s’improvise pas
  4. disposer d’une cartographie à jour de TOUS les systèmes : quel système fait quoi, quel système stocke quoi... La récente entrée en vigueur du RGPD a d’ailleurs imposé la cartographie des données...
  5. mettre à jour TOUS les systèmes dès qu’une mise-à-jour stable est publiée par l’éditeur et uniquement auprès de l’éditeur : Windows/Mac, antivirus, sécurité, logiciels bureautique, logiciels professionnels, etc...
  6. ne pas installer tout et n’importe quoi sur les postes de travail : la tendance du BYOD (Bring Your Own Device) existe également en hôtellerie et l’autoriser évite bien des problèmes, à condition que le wifi de l’hôtel soit bien configuré...
  7. disposer d’une cartographie à jour de TOUS les mots de passe : le mot de passe est il personnel ou partagé, qui a accès à quel système, ...
  8. privilégier les mots de passe personnels aux mots de passe partagés et privilégier des mots de passe complexe (pas de « 1234 »), y compris en cas de mot de passe personnel
  9. changer TOUS les mots de passe partagés à chaque départ d’un collaborateur et suspendre/supprimer INSTANTANÉMENT le compte d’un collaborateur démissionnaire/licencié ayant un accès personnel à un(des) système(s)
  10. à l’instar de la procédure en cas d’incendie, mettre en place une procédure à appliquer et former le personnel aux règles de base, par exemple signaler INSTANTANÉMENT tout comportement suspect de la machine ou du logiciel, mettre un poste suspect en quarantaine...

Ces dix règles ne sont que le début d’une liste bien plus longue et surtout adaptée à chaque entreprise.

Conclusion

Comme le dit Octave Klaba, le fondateur et éminente locomotive d’OVH, la cybersécurité n’est jamais acquise : d’une part il s’agit d’une course perpétuelle entre les vilains et les gentils et d’autre part il ne faut pas se réjouir trop longtemps d’une victoire car elle est instantanément obsolète, les vilains étant déjà occupés à trouver la prochaine faille.

 

[11 téraoctet (To) = 1012 octets = 1 000 Go = 1 000 000 000 000 octets

[2Data Protection Officer ou Délégué à la protection des données - voir Wikipedia

[3Pour simplifier, on peut considérer les ports comme des portes donnant accès au système d’exploitation : (Microsoft Windows, Mac OS, GNU/Linux, Solaris…). Pour fonctionner, un programme (par exemple un jeu à accélération 3D/2D, ou un logiciel de retouche photo) ouvre des portes pour entrer dans le système d’exploitation, mais lorsque l’on quitte le programme, la porte n’a plus besoin d’être ouverte. Voir Wikipédia

 
 
Dans le cadre strictement privé (voir les CGU) de la reproduction partielle ou intégrale de cette page, merci d’insérer la marque "TendanceHotellerie" ainsi que le lien https://suiv.me/12523 vers sa source ou le QR Code accessible à l'adresse https://suiv.me/12523.qr. Voir le mode d'emploi.
 
 

 
 
 
Forum sur abonnement

Pour participer à ce forum, vous devez vous enregistrer au préalable. Merci d’indiquer ci-dessous l’identifiant personnel qui vous a été fourni. Si vous n’êtes pas enregistré, vous devez vous inscrire.

Connexions’inscriremot de passe oublié ?

 
 
Si vous pensez que TendanceHotellerie.fr a toute sa place dans le paysage de l’hôtellerie francophone, n’hésitez pas nous soutenir. C’est simple et (...) En savoir plus »
Nous avons la volonté de faire correspondre ce webzine à vos attentes. Nous sommes très intéressés de recevoir vos avis et suggestions pour (...) En savoir plus »
Vous voulez annoncer sur TendanceHotellerie ? Nous proposons aux fournisseurs de services, solutions et produits à destination de l’hôtellerie de communiquer avec les lecteurs de (...) En savoir plus »