Pour gérer vos consentements :
Categories: Sécurité

Piratage Hilton : le scénario catastrophe se confirme

Brian Krebs avait vu juste sur le cas Hilton.

Le blogueur spécialiste de la sécurité informatique avait tiré la sonnette d’alarme fin septembre, affirmant que la chaîne hôtelière se trouvait probablement à la racine d’une fraude à la carte de crédit. Il craignait que des pirates soient parvenus à compromettre les systèmes de caisse dans plusieurs enseignes du groupe.

Ces inquiétudes sont confirmées : dans un communiqué émis ce 24 novembre, Hilton annonce avoir découvert, « sur un certain nombre de terminaux de paiement », un malware spécialisé dans le vol de données bancaires.

L’entreprise cotée en Bourse se montre peu évasive : tout au plus assure-t-elle avoir « pris des mesures » pour supprimer ledit malware et renforcé la sécurité de son SI, tout en lançant une enquête en collaboration avec les autorités et les principaux émetteurs de cartes bancaires.

L’avertissement diffusé par Brian Krebs était basé sur une alerte confidentielle émise au mois d’août par Visa à l’adresse de plusieurs institutions financières. Elle faisait état d’une « faille dans une enseigne physique » restée exploitable a minima entre le 21 avril et le 27 juillet 2015. Des dates confirmées par Hilton.

L’alerte en question été assortie d’une liste de numéros de cartes bancaires potentiellement exfiltrés dans le cadre de ce hack. Lequel a également exposé, selon Hilton, des noms de clients. Mais pas leurs adresses, ni d’éventuels codes de sécurité.

Hack au restaurant

Dans quelle mesure les diverses propriétés du groupe (Waldorf Astoria, Conrad, Curio, DoubleTree, Embassy Suites, Homewood, Grand Vacations…) ont-elles été touchées ? Ce n’est pas clair. Hilton annonce toutefois, dans la foire aux questions mise en ligne pour l’occasion, que « des restaurants et des boutiques de souvenirs » sont concernés.

C’est, là encore, ce qu’avait suggéré Brian Krebs. Excluant en l’occurrence les systèmes de caisse à l’accueil des hôtels, il évoquait une compromission des terminaux de paiements dans certains magasins franchisés… sur lesquels Hilton n’a que peu de contrôle.

Visa n’avait pas expressément cité Hilton dans sa communication à destination des banques. Mais ces dernières avaient fini par faire la jonction avec la chaîne hôtelière.

À l’époque, il se murmurait que l’incident remontait à novembre 2014. On peut considérer qu’Hilton l’a confirmé : tous les clients ayant séjourné dans l’un de ses établissements entre le 18 novembre et le 5 décembre 2014 sont invités à « surveiller leurs comptes bancaires », sur lesquels des prélèvements frauduleux pourraient avoir été effectués. Ceux qui ont réservé au moins une nuitée entre le 21 avril et le 27 juillet 2015 sont également concernés.

On tient là une cyberattaque dont l’ampleur potentielle égale, voire dépasse le piratage subi le mois dernier par les clients de T-Mobile US. L’opérateur n’avait pas été directement visé : c’est son partenaire Experian (vérifications de solvabilité) qui l’avait été.

Le bilan était encore plus lourd cet été dans le cadre de l’attaque menée contre AshleyMadison.com (groupe Avid Life Media). Plus de 37 millions de membres du site de rencontres extraconjugales auraient vu leurs données aspirées, en plus d’éléments financiers sur l’entreprise et de code source.

Crédit photo : Nessluop – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago