Par décision du 30 octobre 2020, l’ICO (l’autorité britannique de protection des données) a infligé une amende de 18,4 millions de livres sterling à Marriott International Inc. pour non-respect de son obligation RGPD de sécurité.
Cette décision fait suite à une cyber-attaque contre Starwood, une société acquise par Marriot en 2016, notifiée à l’ICO en 2018. L’enquête de l’ICO a permis de remonter à l’origine de la cyber-attaque en 2014. Elle concernait les informations personnelles de millions de clients, notamment les détails de leur réservation, les détails de leur carte de paiement et leur numéro de passeport.
L’OIC considère que Marriot n’a pas mis en oeuvre :
- Une surveillance suffisante du compte privilégié ;
- Une surveillance suffisante des bases de données ;
- Un contrôle suffisant des systèmes critiques ;
- Un chiffrement complet des informations de passeport contenues dans les bases de données, et il n’a pas expliqué pourquoi les données moins sensibles n’étaient pas soumises au chiffrement.
Dans sa notification d’intention, l’ICO avait initialement prévu d’infliger une amende de 99 millions de livres sterling. Toutefois, le montant de l’amende a été réduit, compte tenu des arguments soumis par Marriott, d’autres aspects tels que les actions entreprises par Marriot pour répondre à l’attaque et les conséquences de la pandémie de Covid-19.
Comme la violation de données s’est produite avant que le Royaume-Uni ne quitte l’UE, l‘ICOa agi en tant qu’autorité de surveillance chef-de-file. Cela signifie que les autres autorités de protection des données concernées de l’UE ont approuvé la lettre de sanction et les actions menées par l’ICO dans le cadre du processus de coopération prévu au RGPD.
C’est la deuxième sanction relative à une cyber-attaque que l’ICO, agissant en tant qu’autorité de supervision chef-de-file, inflige, la première ayant été infligée à British Airways le mois dernier.Elle donne donc un bon aperçu des attentes des autorités de protection des données concernant le niveau de sécurité à mettre en œuvre, en particulier dans les grandes organisations ou les organisations traitant un volume important de données.
1. Circonstances de la cyber-attaque
Marriot a acquis une société nommée Starwood en septembre 2016. Après l’acquisition, les systèmes informatiques de Marriott et de Starwood sont restés indépendant l’un de l’autre de sorte que l’attaque n’a pas impliqué l’accès au réseau plus large de Marriot.
L’attaque a commencé le 29 avril 2014 lorsque l’attaquant a installé un « web shell » sur un appareil du réseau Starwood.
L’installation d’un « web shell » sur le serveur a permis à l’attaquant d’accéder à distance au système et d’installer des chevaux de Troie d’accès à distance (RAT), un malware permettant le contrôle à distance du système par l’administrateur. En conséquence, l’attaquant aurait eu un accès illimité à l’appareil concerné et à tout autre appareil du réseau auquel ce compte d’administrateur aurait eu accès.
À une date indéterminée, l’attaquant a installé un Mimikatz. Cet outil de post-exploitation a scanné le serveur pour trouver tous les noms d’utilisateur et mots de passe temporairement stockés dans la mémoire du système, ce qui a permis à l’attaquant de continuer à compromettre les comptes d’utilisateurs.
En avril et mai 2016, l’attaquant a peut-être créé trois fichiers nommés « Salle de réservation », « Type de salle de consommation » et « Partage de salle de réservation » sur un appareil Starwood pour exfiltrer les données contenues dans les tableaux conservés dans le système. Les enquêteurs du Marriott ont découvert par la suite que l’attaquant avait réussi à exfiltrer les données de quatre fichiers principaux nommés.
Le 7 septembre 2018, l’attaquant a effectué un « comptage » sur la table « Guest master profile » afin de savoir combien de lignes la table contenait et l’a exportée. Le « comptage » a déclenché une alerte sur le système Guardium, un système de sécurité géré par Accenture, leur fournisseur de services.
Le 10 septembre 18, l’attaquant a exporté la table « PP-master » vers un fichier « dmp » sur le système Starwood. Suite à l’alerte Guardium, le Marriott a mis en place son plan de réponse aux incidents de sécurité de l’information et de protection de la vie privée.
À la fin de son enquête, le Marriott a découvert que l’Attaquant avait exfiltré les fichiers suivants :
- Le tableau « guest master profile » ;
- Le tableau « reservation room sharer » ;
- Le tableau « consumption room type » ;
- Le tableau « PP-master ».
2. Découverte et signalement de la violation
Le 8 septembre 2018, Accenture, la société gérant la base de réservation Starwood, a contacté l’équipe informatique du Marriott concernant l’alerte Guardium du 7 septembre.
Le 12 septembre 2018, Marriott a déployé des outils de surveillance et de criminalistique en temps réel sur 70 000 anciens appareils Starwood.
Du 15 au 17 septembre 2018, Marriott a identifié d’autres activités non autorisées à partir du 7 juillet 2018 (c’est-à-dire l’utilisation de la carte d’identité des employés d’Accenture) et la présence de la RAT (c’est-à-dire un cheval de Troie). Marriot a pris des mesures pour contenir la RAT.
Entre le début et la mi-octobre 2018, Marriott a également identifié l’utilisation de Mimikatz par les attaquants à plusieurs reprises depuis 2014, ainsi que le logiciel malveillant de grattage de mémoire.
Entre le 13 et le 19 novembre 2018, Marriot a identifié deux fichiers compressés et précédemment supprimés (le « guest master profile » et le pp-master). Une fois ces fichiers décryptés, il est apparu qu’ils contenaient le tableau de guest master et la table du pp master.
Le 22 novembre 2018, Marriot a notifié l’ICO de la violation des données personnelles
Le 25 novembre 2018, Marriot a découvert le fichier « Reservation room sharer » et « consumption room type » créé sur un appareil Starwood.
Le 30 novembre 2018, Marriot a fourni un rapport de suivi à l’ICO concernant d’autres violations de données personnelles. Marriot a également publié un communiqué de presse sur l’attaque informatique et a créé un site web dédié à l’incident Starwood. Il a aussi commencé à envoyer une notification aux personnes concernées, qui contient un lien vers un site web dédié, y compris le numéro de téléphone du centre d’appel. L’ICO a demandé une mise à jour du courriel afin qu’il inclue le numéro de téléphone et dont la version révisée a été envoyée le 9 décembre 2018.
3. Données personnelles concernées
L’attaquant peut avoir obtenu des données personnelles sous forme cryptée ou non.
3.1. Informations non cryptées
L’attaquant a potentiellement eu accès aux informations suivantes :
Fichier « guest master profile » : numéro d’identification de l’invité, nom, sexe, date de naissance, VIP/non VIP, adhésion (ou non) au programme de fidélité Starwood, adresse postale, code pays du passeport, numéro de téléphone, numéro de fax, adresse électronique et date d’expiration de la carte de crédit.
Fichier « Reservation room sharer »: numéro de confirmation de la réservation centrale, numéro d’identification de la chambre, nom du client, informations sur le compte SPG, VIP ou non, code VIP, numéro de passeport non crypté de 5,25 millions de clients (dont 935 000 passeport EEE), pays du passeport du client, heure d’arrivée, date de départ, adresse, numéro de téléphone et de fax, adresse électronique, si le client s’est enregistré, numéro de vol et code de la compagnie aérienne, le nombre total de clients dans la chambre
Fichier « consumption room type » : numéro de confirmation de la réservation, ID du profil principal de l’invité, ID de la chambre, type de chambre, nombre d’enfants invités, nombre d’adultes invités, nombre de lits d’enfant utilisés dans la chambre, nombre de lits roulants conçus pour les adultes et pour les enfants, date d’arrivée de l’invité
Fichier « PP master » : la clé de décryptage de l’enregistrement du numéro de passeport. Toutefois, M. Marriott estime que cela ne suffirait pas pour décrypter les numéros de passeport, car une clé de cryptage maîtresse est également nécessaire.
3.2. Informations cryptées
- 18,5 millions de passeports cryptés dont 4,29 millions sont des passeports EEE ;
- 9,1 millions de cartes de paiement cryptées, dont 873 000 sont associées aux registres des États membres de l’EEE.
Le Marriott estime que 339 millions de fichier d’invités ont été touchés, dont 30,1 millions d’invités de l’EEE. Toutes les personnes concernées ont été touchées par les attaques avant et après l’entrée en vigueur du RGPD. Toutefois, les données personnelles concernées diffèrent selon les personnes concernées
4. Champ d’application de la décision
L’ICO ne prend pas en considération les éventuelles infractions au RGPD qui se sont produites entre l’acquisition de Starwood et son entrée en vigueur, le 25 mai 2018.
La lettre d’avertissement ne concerne donc que le non-respect par Marriott de ses obligations au titre du RGPD.
5. Marriot ne respecte pas ses obligations RGPD en matière de sécurité
L’autorité britannique a identifié quatre principaux échecs du Marriott à mettre en place des mesures techniques ou organisationnelles appropriées pour protéger les données personnelles.
5.1. Suivi insuffisant des comptes privilégiés
Selon l’ICO, la journalisation de l’activité des utilisateurs, en particulier des utilisateurs privilégiés, une fois au sein du CDE, aurait permis de détecter les activités inhabituelles des comptes, en plus de la journalisation effectuée par le logiciel Guardium.
À cet égard, l’ICO rappelle que la National Cyber Security (NCSC) prévoit, dans le cadre des 10 étapes des lignes directrices sur la cybersécurité, que la « surveillance » est l’une des étapes pertinentes. Elle doit inclure la surveillance du trafic réseau et de l’activité des utilisateurs.
Selon l’ICO, il ne suffit pas de mettre en œuvre uniquement l’authentification multi-facteur et certaines mesures de sécurité supplémentaires. Elle s’attendait à ce que la mise en œuvre de plusieurs niveaux de sécurité et une meilleure surveillance de l’activité des utilisateurs contribuent à la détection de l’attaque.
Une telle mesure comprendrait la mise en œuvre d’une surveillance efficace (y compris la journalisation) et d’alertes dans le cadre des mesures de sécurité plus larges du Marriott.
5.2. Surveillance insuffisante des bases de données
Selon l’ICO, Marriott n’a pas non plus réussi à contrôler de manière adéquate les bases de données du CDE.
À cet égard, le commissaire est préoccupé par les trois manquements suivants :
- Des lacunes dans la mise en place par le Marriott d’alertes de sécurité sur les bases de données au sein du CDE ;
- Défaut d’agrégation des journaux ;
- Défaut de journalisation des actions entreprises sur le système du CDE (par exemple, création de fichiers et exportation de tableaux de base de données entières).
Le problème était que Marriott n’assurait pas une journalisation suffisante des activités clés telles que l’activité des utilisateurs ou les actions effectuées sur une base de données. Par conséquent, son système de gestion des incidents et son SOC étaient inefficaces.
L’ICO a également remarqué que Marriott n’enregistrait pas suffisamment les autres zones de son réseau (par exemple, les journaux de pare-feu et d’accès).
L’autre problème était que Marriott ne s’engageait pas dans la journalisation par le serveur de la création de fichiers, ce qui permettait à l’attaquant d’exporter des bases de données entières vers des fichiers « dmp » sans être détecté.
En outre, il y a eu un manque total d’alertes sur les tableaux contenant des données personnelles autres que les détails des cartes de paiement, qui étaient cryptées.
5.3. Contrôle insuffisant des systèmes critiques
Selon l’ICO et sur la base des directives du NCSC, Marriott aurait dû mettre en place une forme de durcissement des serveurs (par exemple, une liste blanche) comme mesure préventive. Cela aurait pu empêcher l’attaquant d’accéder aux comptes des administrateurs.
En effet, Marriott aurait pu mettre en place des mesures de liste blanche sur les systèmes critiques et les systèmes qui ont accès à de grandes quantités de données personnelles.
L’ICO souligne le fait que Marriott aurait pu mettre en œuvre ces mesures dans la mesure nécessaire sans entraîner de coûts excessifs ou de difficultés techniques.
5.4. Absence de chiffrement de certaines données
Marriot a crypté les données des cartes de paiement, et dans certains cas, les numéros de passeport, en utilisant AES-128.
La base de données de réservation Starwood comprenait des tableaux stockés dans une base de données Oracle, qui offrait la possibilité de crypter les entrées de table de cette manière. Il était de la responsabilité de Marriott de configurer le cryptage correctement.
Marriot n’a pas appliqué le chiffrement à d’autres catégories de données personnelles, et l’OIC était particulièrement préoccupé par le fait que Marriot ne chiffrement qu’une partie des numéros de passeport.
Les lignes directrices n’exigent pas de crypter toutes les données personnelles, mais de pouvoir expliquer pourquoi on choisit de crypter les données de manière sélective.
6. Divers
L’ICO a retiré sa conclusion provisoire de violation de l’article 33 du RGPD (notification de violation des données à l’autorité dans les 72 heures), considérant, suite à la représentation de Marriot, qu’elle n’avait connaissance de la violation des données personnelles qu’à partir du 19 novembre 2018.
Le fait qu’Accenture était chargée de la mise en œuvre, de la maintenance ou de la gestion de certains éléments du système ne réduit pas la responsabilité de Marriott pour les violations de l’article 33GPPR identifiées.
7. Une pénalité de 18 millions de livres sterling
Pour l’ICO, Marriot a fait preuve de négligence dans la maintenance des systèmes qui souffrent des vulnérabilités et des lacunes identifiées ci-dessus.
L’autorité a estimé qu’étant donné l’ampleur et le chiffre d’affaires de Marriott, une pénalité de 28 millions de livres sterling serait appropriée pour refléter la gravité de la violation. Toutefois, compte tenu des facteurs atténuants, notamment la pandémie COVID 19, l’amende a été réduite à 18 millions de livres sterling.
