IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    Juin 2016
    Messages
    3 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2016
    Messages : 3 160
    Points : 66 249
    Points
    66 249
    Par défaut L’ICO annonce son intention d’infliger une amende de 110 millions d’euros à Marriott pour infraction au RGPD
    Marriott, un groupe hôtelier US a révélé une violation massive de données affectant jusqu'à 500 millions de ses clients
    depuis 2014

    Marriott International, Inc. est un groupe hôtelier américain spécialisé dans l'hôtellerie de luxe et est basé à Bethesda, dans le Maryland, aux États-Unis. Il comprend un portefeuille de plus de 6 700 établissements appartenant à 30 grandes marques hôtelières réparties dans 129 pays et territoires. En 2016, Marriott International a acheté Starwood, créant ainsi la plus grande chaîne d'hôtels. Les marques hôtelières Starwood comprennent les hôtels W, Sheraton, Le Méridien et Four Points by Sheraton. Les hôtels de marque Marriott utilisent un système de réservation distinct sur un réseau différent. Le 8 septembre dernier, Marriott a reçu une alerte d'un outil de sécurité interne concernant une tentative d'accès à la base de données de réservations Starwood aux États-Unis. Le groupe hôtelier a engagé des experts en sécurité pour déterminer ce qui se passait.

    L’enquête a révélé qu’un accès non autorisé au réseau Starwood avait eu lieu depuis 2014. La société a récemment découvert qu’une partie non autorisée avait copié et crypté des informations et avait pris des mesures pour les supprimer. Le 19 novembre 2018, Marriott a été en mesure de déchiffrer les informations et a déterminé que le contenu provenait de la base de données de réservations Starwood. La société n’a pas fini d’identifier les informations en double dans la base de données, mais pense que celle-ci contient des informations relatives à environ 500 millions de personnes qui ont fait une réservation dans un établissement Starwood. Pour environ 327 millions de ces clients, les informations compromises sont entre autre un ensemble de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication.

    Nom : Marriott+logo.jpg
Affichages : 3653
Taille : 19,6 Ko

    Pour certains, les informations incluent également les numéros de carte de paiement et les dates d'expiration, mais les numéros de carte de paiement ont été cryptés à l'aide du cryptage Advanced Encryption Standard (AES-128). Deux composants sont nécessaires pour déchiffrer les numéros de carte de paiement et, à ce stade, Marriott n'a pas été en mesure d'exclure la possibilité que les deux aient été pris. Pour les clients restants, les informations se limitaient au nom et parfois à d'autres données telles que l'adresse postale, l'adresse électronique ou d'autres informations. « Ce sont des données extrêmement intimes », a déclaré Edward Hasbrouck, écrivain spécialisé dans le tourisme et défenseur des droits des consommateurs, qui a longtemps mis en garde contre la sensibilité et la sécurité insuffisante des enregistrements de voyage informatisés.

    « L’industrie du voyage a fait preuve d’une grande négligence par rapport à de nombreuses industries en matière de confidentialité et de sécurité des données », selon lui. La valeur potentielle de telles informations sur un pourcentage aussi élevé de voyageurs du monde a provoqué des spéculations selon lesquelles Marriott aurait pu être la cible de pirates informatiques d'un État-nation cherchant à suivre les mouvements de diplomates, d'espions, de responsables militaires et de dirigeants d'entreprise. Pourtant, même si les pirates étaient de simples criminels à la recherche de profits, ces données fournissaient les éléments de base nécessaires pour toute une série de méfaits possibles, notamment le vol d’identité.

    Matt Tait, un ancien officier des services de renseignements britanniques, a déclaré qu'il n'était pas clair si les pirates étaient des espions ou de simples criminels, bien qu'il soupçonne que Marriott soit victime d'une attaque d'un État-nation, car l'accès a duré si longtemps sans susciter de suspicion. « Les États-nations sont heureux de regarder et d'utiliser les informations de manière très passive, alors que les criminels veulent les transformer en argent liquide », a déclaré Tait, chercheur en cybersécurité au Centre Robert S. Strauss pour le droit et la sécurité internationale de l'Université du Texas à Austin.

    Cependant, Gary Leff, auteur du blogue View From the Wing, a déclaré que l'industrie du voyage avait fait l'objet de nombreuses ruses ces dernières années et que les informations provenant des programmes de récompenses étaient régulièrement achetées et vendues en ligne par les criminels. Il a exprimé son scepticisme quant au piratage du système de réservation par un service de renseignement étranger. « Je ne pense pas qu'il aurait nécessairement fallu un État-nation pour s'introduire dans Starwood IT », a-t-il déclaré.

    Marriott a signalé cet incident aux forces de l'ordre et continue de soutenir leur enquête. La société a déjà commencé à notifier les autorités de réglementation. « Nous regrettons profondément cet incident », a déclaré Arne Sorenson, président et chef de la direction de Marriott dans un communiqué de presse. « Nous n’avons pas satisfait ce que nos clients méritent et ce que nous attendons de nous-mêmes. Nous faisons tout ce qui est en notre pouvoir pour aider nos clients et utilisons les leçons apprises pour progresser. Aujourd'hui, Marriott réaffirme son engagement envers ses clients du monde entier. Nous travaillons fort pour que nos clients aient des réponses aux questions concernant leurs informations personnelles, avec un site web dédié et un centre d'appels. Nous continuerons également à soutenir les efforts des forces de l'ordre et à travailler avec les meilleurs experts en sécurité pour améliorer les choses. Enfin, nous consacrons les ressources nécessaires à la suppression progressive des systèmes Starwood et à l’accélération des améliorations de la sécurité de notre réseau », a poursuivi Sorenson.

    La société offre aux clients concernés un abonnement d'un an à un service de contrôle des fraudes. Marriott offre aux clients la possibilité de s’inscrire à WebWatcher gratuitement pendant un an. WebWatcher surveille les sites Internet où des informations personnelles sont partagées et génère une alerte pour le consommateur si des preuves de ses informations personnelles sont trouvées. Les actions de la société ont chuté de près de 6 % hier après l'annonce du scandale. Hier, le groupe hôtelier a déclaré qu'il allait commencé à envoyer des e-mails aux clients concernés dont les adresses e-mail se trouvent dans la base de données de réservations Starwood.

    Le département d'Etat américain, département exécutif fédéral chargé des relations internationales, a publié une déclaration à la suite d'informations sur cette violation hier. « Nous sommes conscients que les numéros de passeport de certaines personnes ont peut-être été divulgués, mais nous tenons à souligner qu'aucun des registres ou systèmes informatiques du département d'État américain ne se connecte aux registres de Marriott ou des systèmes. Personne ne peut accéder aux archives du département ou obtenir des copies des archives d'un citoyen américain en utilisant un numéro de passeport », tient à rassurer Le département d'Etat américain.

    Source : The Washington Post, communiqué de presse

    Et vous ?

    Qu'en pensez-vous ?
    Quelles dispositions recommanderiez-vous aux victimes dont les données personnelles sont exposées dans cette attaque ?

    Voir aussi

    Uber versera 148 millions de dollars pour régler une enquête pour violation de données, pour avoir dissimulé l'accès non autorisé au public

    Une violation de données coûterait environ 3,86 millions $ US par entreprise et par an, selon une étude de Ponemon Institute pour IBM Security

    Violations de données personnelles : la CNIL dresse un premier bilan chiffré quatre mois après l'entrée en application du RGPD

    Le nombre de violations de données signalées en 2018 par les entreprises a diminué de 8 % et le nombre d'enregistrements exposés a diminué de moitié
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    Juin 2016
    Messages
    3 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2016
    Messages : 3 160
    Points : 66 249
    Points
    66 249
    Par défaut USA : la Chine serait impliquée dans la violation massive de données du groupe hôtelier Marriott
    USA : la Chine serait impliquée dans la violation massive de données du groupe hôtelier Marriott
    qui a affecté 500 millions de ses clients

    Marriott International, Inc. est un groupe hôtelier américain spécialisé dans l'hôtellerie de luxe et est basé à Bethesda, dans le Maryland, aux États-Unis. Il comprend un portefeuille de plus de 6 700 établissements appartenant à 30 grandes marques hôtelières réparties dans 129 pays et territoires. En 2016, Marriott International a acheté Starwood, créant ainsi la plus grande chaîne d'hôtels. Les marques hôtelières Starwood comprennent les hôtels W, Sheraton, Le Méridien et Four Points by Sheraton. Les hôtels de marque Marriott utilisent un système de réservation distinct sur un réseau différent. Le 8 septembre dernier, Marriott a reçu une alerte d'un outil de sécurité interne concernant une tentative d'accès à la base de données de réservations Starwood aux États-Unis. Le groupe hôtelier a engagé des experts en sécurité pour déterminer ce qui se passait.

    L’enquête a révélé qu’un accès non autorisé au réseau Starwood avait eu lieu depuis 2014. La société a récemment découvert qu’une partie non autorisée avait copié et crypté des informations et avait pris des mesures pour les supprimer. Le 19 novembre 2018, Marriott a été en mesure de déchiffrer les informations et a déterminé que le contenu provenait de la base de données de réservations Starwood. La société n’a pas fini d’identifier les informations en double dans la base de données, mais pense que celle-ci contient des informations relatives à environ 500 millions de personnes qui ont fait une réservation dans un établissement Starwood. Pour environ 327 millions de ces clients, les informations compromises sont entre autre un ensemble de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication.

    Pour certains, les informations incluent également les numéros de carte de paiement et les dates d'expiration, mais les numéros de carte de paiement ont été cryptés à l'aide du cryptage Advanced Encryption Standard (AES-128). Deux composants sont nécessaires pour déchiffrer les numéros de carte de paiement et, à ce stade, Marriott n'a pas été en mesure d'exclure la possibilité que les deux aient été pris. Pour les clients restants, les informations se limitaient au nom et parfois à d'autres données telles que l'adresse postale, l'adresse électronique ou d'autres informations. « Ce sont des données extrêmement intimes », a déclaré Edward Hasbrouck, écrivain spécialisé dans le tourisme et défenseur des droits des consommateurs, qui a longtemps mis en garde contre la sensibilité et la sécurité insuffisante des enregistrements de voyage informatisés.

    Nom : Marriott+logo.jpg
Affichages : 3653
Taille : 19,6 Ko

    Des enquêteurs privés qui ont enquêté sur cette brèche ont découvert que des outils, techniques et procédures de piratage précédemment utilisés dans des attaques étaient attribués à des pirates chinois, ont déclaré trois sources non autorisées à parler de l'enquête de l'entreprise sur cette attaque. Cela suggère que les pirates chinois auraient été à l'origine d'une campagne visant à collecter des informations destinées à être utilisées dans les efforts d'espionnage de Beijing et non à des fins financières, ont déclaré deux des sources. Bien que la Chine soit devenue le principal suspect dans l'affaire, les sources ont averti qu'il était possible que quelqu'un d'autre soit derrière le piratage parce que d'autres parties avaient accès aux mêmes outils de piratage, dont certains avaient déjà été mis en ligne. L'identification du coupable est encore compliquée par le fait que les enquêteurs soupçonnent que plusieurs groupes de piratage auraient pu être simultanément dans les réseaux informatiques de Starwood depuis 2014.

    Si les enquêteurs confirment que la Chine était à l'origine de l'attaque, cela pourrait compliquer les relations déjà tendues entre Washington et Beijing, dans le cadre d'un différend tarifaire en cours et d'accusations américaines d'espionnage chinois et de vol de secrets commerciaux. Pour rappel, au début du mois de novembre, le Département du Commerce des États-Unis d’Amérique a placé sur sa liste noire Fujian Jinhua, une société chinoise qui fabrique des semi-conducteurs. L'entreprise ne pourra plus acheter ou vendre de produits technologiques sur le sol américain. Et pour cause, le Département de la Justice des États-Unis a dévoilé les accusations portées contre une entreprise publique chinoise et son partenaire taïwanais, pour avoir volé des secrets commerciaux auprès de Micron Technology Inc., un fabricant américain de micropuces pour les smartphones, les tablettes et aussi pour les ordinateurs.

    Les employés de Fujian Jinhua auraient tenté de dissimuler les preuves mais la police taïwanaise a réussi à retrouver l'employé chinois chargé de faire disparaître les preuves de l'espionnage industriel. Selon les autorités taïwanaises, ces informations étaient destinées à la Chine, qui comptait les copier et les reproduire à grande échelle dans une nouvelle usine de micropuces, une startup financée par des fonds publics s'élevant à 5,7 milliards de dollars US, dont le nom est Fujian Jinhua. Par cet acte, la Chine espérerait envahir le marché des puces avec ces copies probablement bon marché et, au passage, atteindre l'autosuffisance sur la production de micropuces.

    « La Chine s'oppose fermement à toutes les formes de cyberattaques et les punit conformément à la loi », a déclaré à Reuters le porte-parole du ministère chinois des affaires étrangères, Geng Shuang. « S'ils présentent des preuves, les départements chinois concernés mèneront des enquêtes conformément à la loi », ajouta-il. La porte-parole de Marriott, Connie Kim, a refusé de commenter, en disant qu'ils n'ont aucune information à partager, lorsque Reuters lui a posé des questions sur l'implication de pirates chinois dans le piratage de l'hôtel. Marriott a révélé le piratage il y a quelques jours, ce qui a amené les régulateurs américains et britanniques à lancer rapidement des enquêtes pour mieux comprendre comment cela s'est produit.

    Le piratage a commencé en 2014, peu de temps après l'attaque de l'Office of Personnel Management (OPM), une agence indépendante du gouvernement des États-Unis responsable de la fonction publique du gouvernement fédéral, qui avait compromis des données sensibles concernant des employés, notamment des formulaires de demande d'autorisation de sécurité. Pour rappel, les États-Unis avaient été victimes d’un piratage d’envergure qui a entraîné l’exposition des données personnelles de près de quatre millions de travailleurs du gouvernement fédéral, selon une annonce publiée par le gouvernement. L’attaque aurait été perpétrée à partir du mois de décembre 2014 contre l'OPM,

    Selon le Washington Post, qui avait cité des responsables américains qui ont souhaité garder l’anonymat, l’OPM aurait détecté une activité malveillante sur ses systèmes d’information à partir du mois d’avril. Le Département de la sécurité intérieure a conclu après enquête au mois de mai que les données de l’organisme avaient été compromises. Dans un communiqué, l’OPM a fait savoir que les données de près de quatre millions de travailleurs (anciens et actuels) auraient été compromises. Il s’agit des informations concernant l’évaluation du personnel, l’attribution des tâches, les numéros de sécurité sociale, etc. Les personnes affectées seront informées à partir du mois de juin. L’OPM n’exclut pas que d’autres comptes compromis soient identifiés, et envisage de les dédommager à hauteur de 1 million de dollars en cas de fraude et de vol d’identité, à l’issue de l’enquête.

    Le conseiller à la Sécurité nationale de la Maison Blanche, John Bolton, a récemment déclaré aux journalistes qu'il pensait que Pékin était derrière le piratage de l'OPM, une affirmation qui avait été faite pour la première fois par les États-Unis en 2015. Beijing a fermement nié ces accusations et a également réfuté les accusations selon lesquelles elle était derrière d’autres pirates. L'ancien haut responsable du FBI, Robert Anderson, a déclaré à Reuters que l'affaire Marriott ressemblait à des piratages commis par le gouvernement chinois en 2014 dans le cadre de ses opérations de renseignement. « Pensez à l'étendue de leurs connaissances sur les habitudes de voyage ou à ceux qui se trouvaient dans une ville donnée en même temps qu'une autre personne », a déclaré Anderson, directeur adjoint du FBI jusqu'en 2015.

    « Cela correspond à la façon dont les services de renseignement chinois envisagent les choses. Tout cela est très lointain », a déclaré Anderson, qui n'était pas impliqué dans l'enquête sur l'affaire Marriott. Michael Sussmann, ancien haut responsable du département de la justice de la section des crimes informatiques, a déclaré que la longue durée de la campagne était un indicateur du fait que les pirates cherchaient des informations confidentielles et non des informations à utiliser dans des stratagèmes de cybercriminalité. « Un indice montrant un attaquant d'un gouvernement est le temps pendant lequel les intrus travaillaient tranquillement à l'intérieur du réseau. La patience est une vertu pour les espions, mais pas pour les criminels qui tentent de voler des numéros de carte de crédit », a-t-il déclaré.

    Source : Reuters

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi

    Marriott, un groupe hôtelier US a révélé une violation massive de données affectant jusqu'à 500 millions de ses clients depuis 2014

    La Chine a violé l'accord avec les USA où elle s'engage à ne pas lancer des cyberattaques à des fins d'espionnage économique selon un responsable US

    Les USA accusent des entreprises chinoise et taïwanaise de vol de secrets industriels à Micron Technology Inc., un fabricant US de micropuces

    États-Unis : un piratage d'envergure aurait compromis les donnes de 4 millions d'employés fédéraux la Chine qualifie son accusation "d'irresponsable"
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  3. #3
    Expert éminent sénior

    Homme Profil pro
    Consultant informatique
    Inscrit en
    Avril 2018
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2018
    Messages : 1 548
    Points : 125 220
    Points
    125 220
    Par défaut Marriott concède que 5 millions de numéros de passeport perdus lors du piratage n'ont pas été chiffrés
    Marriott concède que 5 millions de numéros de passeport volés par les pirates n'ont pas été chiffrés
    Faisant suite à la violation des données clients

    Les données utilisateurs sont devenues la cible privilégiée du piratage ces dernières années. Des révélations des violations de plus en plus massives de ces données confidentielles faites par les entreprises qui détiennent de grande quantité d’information sur leurs clients se multiplient. Marriott International, Inc., le groupe hôtelier américain spécialisé dans l'hôtellerie de luxe, basé à Bethesda, dans le Maryland, aux États-Unis a été victime de cette vaste campagne de piratage de données clients. Le groupe a révélé en novembre dernier que les données de plusieurs de ses clients, précisément de la base de données de réservations de Starwood, avaient été exposées lors d’une cyberattaque historique à l’occasion d’un accès non autorisé par des tiers qui a eu lieu depuis 2014.

    Après une enquête et le déchiffrement des informations qui avaient été copiées et cryptées par les auteurs de l’accès non autorisé, Marriott International a révélé que des informations relatives à environ 500 millions de personnes, qui ont fait une réservation dans un établissement Starwood, avaient été affectées. Cependant, la société avait également dit que ce chiffre était exagéré car plusieurs informations de la base étaient en double.

    Selon la société, les informations compromises sont entre autre un ensemble de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation, préférences de communication, les numéros de carte de paiement et leur date d'expiration et bien d'autres informations.

    En décembre, trois sources anonymes, parmi les enquêteurs privés qui ont enquêté sur cette brèche, ont déclaré que l’enquête à découvert des outils, techniques et procédures de piratage précédemment utilisés dans des attaques et attribués à des pirates chinois. Suggérant que les pirates chinois auraient été à l'origine d'une campagne visant à collecter des informations destinées à être utilisées dans les efforts d'espionnage de Beijing et non à des fins financières.

    Toutefois, les sources anonymes ont averti qu'il était possible que quelqu'un d'autre soit derrière le piratage parce que d'autres parties avaient accès aux mêmes outils de piratage. Ce qui rendait difficile, jusqu’à là, l'identification du coupable dans la mesure où les enquêteurs soupçonnaient l’implication simultanée de plusieurs groupes de pirates dans l’attaque des réseaux informatiques de Starwood depuis 2014. Plusieurs autres experts sont unanimes sur l’implication des services de renseignement chinois dans cette violation massive des données client.

    Nom : St.jpg
Affichages : 3140
Taille : 26,8 Ko

    Le groupe hôtelier Marriott International, qui continue l’identification des dossiers en double, a dans sa déclaration de ce vendredi revu à la baisse le nombre de personnes touchées par l’attaque informatique, a rapporté The New York Times. Selon la société, les équipes d'analystes médico-légaux et d'analystes de données avaient identifié « environ 383 millions de dossiers comme étant la limite supérieure » du nombre total de dossiers de réservations des clients perdus lors de l’attaque. Marriott International a déclaré également ne toujours pas savoir l’origine de l'attaque et a suggéré que le chiffre diminuerait avec le temps à mesure que d'autres dossiers en double seront identifiés.

    Dans sa déclaration de ce vendredi, la société a également admis pour la première fois, selon The New York Times, que son unité d'hôtel Starwood n'avait pas chiffré les numéros de passeport pour environ cinq millions de clients qui ont été impliqués dans le vol de données lors du piratage. Toutefois, bien que le chiffre de personnes affectées par la violation ait été revu à la baisse, il demeure le plus importante de l'histoire, devant celui de l'attaque contre Equifax, l'agence d'évaluation du crédit à la consommation, qui a perdu le permis de conduire et les numéros de sécurité sociale d'environ 145,5 millions d'Américains en 2017, entraînant une perte énorme de confiance dans l'entreprise, a écrit The News York Times.

    Selon The New York Time, l’attaque de Marriott est particulièrement grave à cause de l’implication des numéros de passeports qui pourraient faciliter grandement la tâche d'un service de renseignement pour suivre les personnes qui traversent les frontières, même si Marriott a dit qu'il paierait pour un nouveau passeport pour toute personne dont les renseignements sur le passeport ont été volés à partir de leurs systèmes lors de l’accès non autorisé.

    En décembre dernier, des enquêteurs privés et plusieurs experts indépendants soupçonnaient que l’attaque de Marriott faisait partie d’un effort de collecte de renseignements chinois qui remonte jusqu'en 2014, et qui comprenait également le piratage des assureurs santé américains et l'Office of Personnel Management (OPM), l’agence américaine qui conserve des dossiers de sécurité sur des millions d'Américains.

    Selon The News York Times, dans son article de ce vendredi consacré à cette affaire, cet effort de renseignement chinois était l’œuvre du ministère de la Sécurité d'État de la Chine et viserait à compiler une vaste base de données sur les Américains et d'autres personnes occupant des postes gouvernementaux ou industriels sensibles - y compris leur lieu de travail, le nom de leurs collègues, leurs contacts et amis étrangers, et leur lieu de voyage.

    « Le Big Data est la nouvelle vague pour le contre-espionnage », a déclaré le mois dernier James A. Lewis, un expert en cybersécurité qui dirige le programme de politique technologique au Centre des études stratégiques et internationales à Washington.

    Cependant, la Chine a rejeté toute implication dans la cyberattaque contre Starwood. Un porte-parole du ministère des Affaires étrangères, a déclaré en décembre que « La Chine s'oppose fermement à toute forme de cyberattaque et sévit contre le piratage informatique conformément à la loi. » « Si des preuves sont apportées, les services chinois compétents mèneront les enquêtes conformément à la loi », a-t-il ajouté.

    L’enquête dans l’affaire Marriott a révélé une nouvelle vulnérabilité des systèmes hôteliers...

    Selon The New York Times, l’enquête dans l’affaire Marriott a révélé une nouvelle vulnérabilité des systèmes hôteliers, concernant le traitement qui est fait des données de passeport lorsqu'un client fait une réservation ou s'enregistre dans un hôtel, habituellement à l'étranger, et lorsqu’il remet un passeport au réceptionniste. En ce qui concerne la gestion de ces données par les systèmes de Starwood, Marriott a déclaré que 5,25 millions de numéros de passeport étaient conservés dans des fichiers de données non chiffrés et facilement lisibles par quiconque dans le système de réservations et 20,3 millions de numéros de passeport supplémentaires ont été conservés dans des fichiers cryptés dont la lecture nécessiterait une clé de chiffrement, a rapporté The News York Times.

    « Il n'y a aucune preuve que le tiers non autorisé ait accédé à la clé principale de chiffrement nécessaire pour déchiffrer les numéros de passeport cryptés », a déclaré Marriott dans un communiqué.

    La divergence des protocoles de traitement de données des passeports par les hôtels dans chaque pays est la seule raison que Marriott a fournie pour expliquer le fait que certaines données de passeport soient chiffrées et d’autres pas. Toutefois Marriott a déclaré que maintenant qu’il avait fusionné les données de Starwood dans ses systèmes de réservations, après que la fusion avec la société ait été complétée à la fin de 2018, « Nous examinons notre capacité à passer au chiffrement universel des numéros de passeport et nous travaillerons avec nos fournisseurs de systèmes pour mieux comprendre leurs capacités, ainsi que pour examiner les règlements nationaux et locaux applicables. », a déclaré Connie Kim, porte-parole de la compagnie, en réponse à une question.

    Le mois dernier, le département d'État américain avait rassuré dans une déclaration que les titulaires des passeports dont le numéro avait été volé dans l’attaque, que le numéro du passeport à lui seul ne permettrait pas à quelqu'un de créer un faux passeport. Le département d’Etat a ajouté que « Nous sommes conscients que les numéros de passeport de certaines personnes ont peut-être été divulgués, mais nous tenons à souligner qu'aucun des registres ou systèmes informatiques du département d'État américain ne se connecte aux registres de Marriott ou des systèmes. Personne ne peut accéder aux archives du département ou obtenir des copies des archives d'un citoyen américain en utilisant un numéro de passeport ».

    Le piratage de la base des informations client de Starwood a permis également aux pirates d’emporter environ 8,6 millions de cartes de crédit et de débit. Mais Marriott a déclaré qu'elles étaient toutes cryptées et que toutes les cartes, sauf 354 000, avaient expiré en septembre 2018.

    Selon The New York Times, aucune des informations dérobées par les cyberattaquants n’a encore été utilisée dans une transaction frauduleuse. Toutefois, les enquêteurs voient en cela un signe de plus que des agences de renseignement, qui utilisent les données à d’autres fins propres, sont à l’origine de la cyberattaque.

    Si ces soupçons contre la Chine se confirment, les relations commerciales, déjà en mauvais état, du pays avec son partenaire américains prendraient un coup. Pas plus tard que le mois dernier, les procureurs américains inculpaient deux ressortissants chinois qui seraient liés à une agence d'espionnage de vol de données confidentielles auprès d'agences gouvernementales américaines et d'entreprises du monde entier.

    Source : The News York Times

    Et vous ?

    Qu’en pensez-vous ?

    Lire aussi

    Les Etats-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées
    Un ressortissant chinois, ex-employé d'une société américaine poursuivi pour espionnage économique, et vol de code source propriétaire
    USA : six ressortissants chinois accusés d'espionnage économique, et de vol de secrets commerciaux
    Washington DC poursuit Facebook pour le scandale Cambridge Analytica, environ 340 000 résidents de l'Etat ayant été affectés par l'affaire
    Facebook craindrait que les députés britanniques aient accès aux documents saisis, dans le cadre de l'enquête sur la violation de la vie privée
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  4. #4
    Membre confirmé
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    133
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 133
    Points : 564
    Points
    564
    Par défaut
    Ce n'est pas grave, les 5 millions de personnes concernées n'ont rien à cacher

  5. #5
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Les violations de masses de données telle qu'exposées ici ne font plus rire du tout

    On en reparlera le jour ou votre identité sera usurpée , que vous devrait prouver que vous êtes bien "vous" . Que vous devrez supporter le remboursement des fraudes contractées par votre usurpateur. Au risque d'être bloqué administrativement. Pire encore quand vous aurez de la difficulté face à la maréchaussée , car votre usurpateur aura commis un meurtre, un accident grave , des trafics en tout genre ...

  6. #6
    Membre extrêmement actif
    Femme Profil pro
    None
    Inscrit en
    Août 2012
    Messages
    355
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : None

    Informations forums :
    Inscription : Août 2012
    Messages : 355
    Points : 716
    Points
    716
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    Les violations de masses de données telle qu'exposées ici ne font plus rire du tout

    On en reparlera le jour ou votre identité sera usurpée , que vous devrait prouver que vous êtes bien "vous" . Que vous devrez supporter le remboursement des fraudes contractées par votre usurpateur. Au risque d'être bloqué administrativement. Pire encore quand vous aurez de la difficulté face à la maréchaussée , car votre usurpateur aura commis un meurtre, un accident grave , des trafics en tout genre ...
    A la maréchaussée ? Palsambleu, docteur Who est parmi nous.

  7. #7
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Bonsoir

    Citation Envoyé par TheLastShot Voir le message
    A la maréchaussée ?
    Toute force de l'ordre pouvant exercer une mission de police ou maintien de l'ordre

  8. #8
    Membre extrêmement actif
    Femme Profil pro
    None
    Inscrit en
    Août 2012
    Messages
    355
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : None

    Informations forums :
    Inscription : Août 2012
    Messages : 355
    Points : 716
    Points
    716
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    Bonsoir



    Toute force de l'ordre pouvant exercer une mission de police ou maintien de l'ordre
    Euh non, la maréchaussée c'est l'ancien nom de la gendarmerie nationale, qui a aussi changé de fonctionnement entre temps. Donc en fait c'est quelque chose qui n'existe plus... (c'est un peu comme si tu parlais de "télévision cathodique" pour parler des télévision d'aujourd'hui)

  9. #9
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 359
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 359
    Points : 195 900
    Points
    195 900
    Par défaut L’ICO annonce son intention d’infliger une amende de 110 millions d’euros à Marriott pour infraction au RGPD
    L’ICO annonce son intention d’infliger une amende de 110 millions d’euros à Marriott pour infraction au RGPD,
    suite à un cyber incident qui lui a été signalé en novembre 2018

    Marriott International, Inc. est un groupe hôtelier américain spécialisé dans l'hôtellerie de luxe et est basé à Bethesda, dans le Maryland, aux États-Unis. Il comprend un portefeuille de plus de 6 700 établissements appartenant à 30 grandes marques hôtelières réparties dans 129 pays et territoires. En 2016, Marriott International a acheté Starwood, créant ainsi la plus grande chaîne d'hôtels. Les marques hôtelières Starwood comprennent les hôtels W, Sheraton, Le Méridien et Four Points by Sheraton. Les hôtels de marque Marriott utilisent un système de réservation distinct sur un réseau différent. Le 8 septembre 2018, Marriott a reçu une alerte d'un outil de sécurité interne concernant une tentative d'accès à la base de données de réservations Starwood aux États-Unis. Le groupe hôtelier a engagé des experts en sécurité pour déterminer ce qui se passait.

    L’enquête a révélé qu’un accès non autorisé au réseau Starwood avait eu lieu depuis 2014. La société a découvert par la suite qu’une entité non autorisée avait copié et chiffré des informations. Le 19 novembre 2018, Marriott a été en mesure de déchiffrer les informations et a déterminé que le contenu provenait de la base de données de réservations Starwood. La société n’a pas fini d’identifier les informations en double dans la base de données, mais a avancé qu’environ 500 millions de personnes qui ont fait une réservation dans un établissement Starwood sont concernées. Pour environ 327 millions de ces clients, les informations compromises sont entre autres un ensemble de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication.

    Pour certains, les informations incluent également les numéros de carte de paiement et les dates d'expiration, mais les numéros de carte de paiement ont été chiffrés à l'aide de l’algorithme Advanced Encryption Standard (AES-128). Pour les clients restants, les informations se limitaient au nom et parfois à d'autres données telles que l'adresse postale, l'adresse électronique ou d'autres informations. « Ce sont des données extrêmement intimes », a déclaré Edward Hasbrouck, écrivain spécialisé dans le tourisme et défenseur des droits des consommateurs, qui a longtemps mis en garde contre la sensibilité et la sécurité insuffisante des enregistrements de voyage informatisés.

    Nom : mariott.png
Affichages : 1683
Taille : 91,0 Ko

    L’ICO annonce son intention d’infliger une amende de 110 millions d’euros à Marriott

    L'Information Commissioner's Office (ICO) est l’organisme public non ministériel au Royaume-Uni qui rend compte directement au Parlement et est financé par le Ministère de la Justice. À la suite d'une enquête approfondie, l'ICO a annoncé son intention d'infliger à Marriott International une amende de 99 200 396 £ (110 millions d’euros) pour infraction au règlement général sur la protection des données (RGPD).

    Le montant de l'amende proposée concerne un cyber incident signalé par Marriott en novembre 2018 à l'ICO. Diverses données à caractère personnel contenues dans environ 339 millions de fichiers d'invités dans le monde ont été exposées, dont environ 30 millions concernent des résidents de 31 pays dans l'Espace économique européen (EEE). Sept millions concernent des résidents du Royaume-Uni.

    L’ICO pense que l’exposition a commencé lorsque les systèmes du groupe hôtelier Starwood ont été compromis en 2014. Marriott a ensuite acquis Starwood en 2016, mais l'exposition d'informations sur les clients n'a pas été découverte avant 2018. L'enquête de l'ICO a révélé que Marriott n'avait pas exercé la diligence requise quand il a acheté Starwood et qu’il aurait également dû faire plus pour sécuriser ses systèmes.

    Nom : ico.png
Affichages : 1699
Taille : 328,3 Ko

    La commissaire à l'information, Elizabeth Denham, a déclaré:

    « Le RGPD indique clairement que les organisations doivent être responsables des données personnelles qu'elles détiennent. Cela peut inclure de faire preuve de la diligence requise lors de l’acquisition d’une entreprise et de mettre en place des mesures de responsabilisation appropriées pour évaluer non seulement les données à caractère personnel acquises, mais également la manière dont elles sont protégées.

    « Les données personnelles ont une valeur réelle, de sorte que les organisations ont l'obligation légale d'assurer leur sécurité, comme elles le feraient avec n'importe quel autre actif. Si cela ne se produit pas, nous n'hésiterons pas à prendre des mesures énergiques au besoin pour protéger les droits du public ».

    Marriott a coopéré à l'enquête de l'ICO et a amélioré ses dispositions en matière de sécurité depuis la révélation de ces événements. La société aura désormais l’occasion de faire des déclarations à l’ICO sur les conclusions et sanctions proposées.

    L'ICO a enquêté sur cette affaire en tant qu'autorité de contrôle principale pour le compte d'autorités de protection des données d'autres États membres de l'UE. Elle a également assuré la liaison avec d'autres régulateurs. En vertu des dispositions du « guichet unique » du RPGD, les autorités de protection des données de l'UE dont les résidents ont été affectés auront également la possibilité de commenter les conclusions de l'ICO.

    La réaction de la chaîne hôtelière

    « Nous sommes déçus de cette déclaration d’intention de l’ICO, que nous contesterons », a déclaré le directeur général de Marriott, Arne Sorenson, dans un communiqué.

    L'amende de Marriott est l'une des plus importantes du gendarme britannique pour la protection des données, qui a proposé lundi une amende record de 183,4 millions de livres (203,72 millions d’euros) au propriétaire de British Airways IAG pour le vol de données de 500 000 clients sur son site Web l'année dernière.

    Au mois de mars, au moins cinq États américains enquêtaient également sur l’infraction Marriott, rendant l’addition potentiellement encore plus salée pour le groupe hôtelier.

    Source : déclaration de l'ICO

    Voir aussi :

    Apple à nouveau sous le coup d'une enquête pour application du RGPD, l'intérêt étant de s'assurer du respect de la vie privée des clients
    En application du RGPD, British Airlines risque une amende de 183 millions de livres suite au piratage de son site web de réservation
    Le bilan du RGPD un an après, près de 145 000 plaintes et questions ont été enregistrées auprès des autorités responsables
    La moitié des entreprises US n'étaient pas conformes au RGPD à son entrée en validité, il a fallu au moins six mois à certaines pour le devenir
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  10. #10
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 532
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 532
    Points : 3 880
    Points
    3 880
    Par défaut
    c'est bien gentil toutes ces amandes RGPD, mais au fond ce qui a été mit en risque ou piraté ce sont les données utilisateur, hors l'utilisateur ne verrais jamais l’argent de ces amandes vu qu'elle ne lui sont pas destinées...

  11. #11
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 146
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 146
    Points : 9 386
    Points
    9 386
    Par défaut
    Citation Envoyé par Aiekick Voir le message
    hors l'utilisateur ne verrais jamais l’argent de ces amandes vu qu'elle ne lui sont pas destinées...
    Le but n'est pas de payer des dommages et intérêts aux utilisateurs, ça ils peuvent le demander en portant plainte eux même.
    Le but est que les entreprises investissent dans la protection des données par peur de devoir payer des amendes (ça a plus de poids que les amandes ).

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  12. #12
    Membre habitué
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2017
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Janvier 2017
    Messages : 16
    Points : 164
    Points
    164
    Par défaut
    Ces amendes sont complètement contre-productives. Dans l'article, il est dit que c'est Starwood qui a fait la démarche de signaler le problème à l'ICO. Et pour leur coopération, ils récoltent une amende de 110 millions. Après ça, il faudra pas s'étonner si les entreprises tentent d'étouffer tous leurs problèmes de cyber-sécurité. Dites moi si l'analogie est mauvaise mais lorsqu'une banque se fait braquer, ce n'est pas elle qui se prend une amende pour le manque de sécurité. Certes la logique est différente pour les données dématérialisées mais pas dans cet ampleur.
    La rigidité du système anglais va, à terme, causer beaucoup de tort (en référence aussi à l'article Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique).

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo