Intercontinental Hotels Group (IHG), un groupe hôtelier qui possède des hôtels de 17 marques dans le monde, a informé les investisseurs par une lettre adressée mardi 6 septembre 2022 au London Stock Exchange, et ses clients sur son site, que son système de réservation était largement perturbé depuis lundi par des accès non autorisés. La multinationale britannique possède aussi entre autres Holiday Inn, Crowne Plaza, Regent et Six Senses.

Un couple de hackers vietnamiens, se présentant sous le pseudonyme de "TeaPea", a déclaré à la BBC être à l'origine de la cyberattaque qui a touché InterContinental Hotels Group (IHG) début septembre. Le groupe hôtelier ne donne certes guère de détails techniques, mais a affirmé être occupé à restaurer ses systèmes IT et à analyser l'impact total du piratage.

La nature de l'attaque

Les attaquants ont eu accès au réseau interne d’IHG grâce à l’ingénierie sociale, incitant un employé à télécharger un logiciel malveillant à partir d’une pièce jointe à un e-mail. Ils avaient prévu un rançongiciel, mais la société réussie à isoler ses serveurs avant que les pirates puissent mettre en œuvre le rançongiciel. Au lieu de cela, les pirates ont lancé une attaque d’effacement, supprimant de manière irréversible une grande quantité de données des serveurs d’IHG.

Les captures d'écran, dont l'authenticité a été confirmée par IHG, montrent que les cyberattaquants ont eu accès aux emails sur la messagerie Outlook, aux conversations sur Microsoft Teams ainsi qu'aux répertoires de serveurs. En revanche, aucune donnée client n'aurait été dérobée.

Un mot de passe extrêmement faible

TeaPea raconte avoir eu accès au système d'information du groupe britannique en incitant un employé à télécharger un logiciel malveillant via une pièce jointe piégée. Il a dû contourner un message de sécurité envoyé aux appareils internes dans le cadre d'un système d'authentification à deux facteurs. Or, preuve de la fragilité de la sécurité d'IHG, le nom d'utilisateur et le mot de passe du coffre-fort étaient disponibles pour tous les employés. Et le mot de passe était extrêmement faible, a-t-il déclaré à la BBC. En effet, le mot de passe était Qwerty1234. Une porte-parole du groupe conteste cette version des faits.

Pourquoi ces attaques

Sur Telegram, le couple raconte au média britannique qu'il voulait initialement utiliser un ransomware. Or, l'équipe informatique du groupe IHG a isolé les serveurs avant que les pirates puissent déployer leur attaque par ransomware. Il s'est donc rabattu sur un "wiper", un type de malware qui efface les données sur les ordinateurs qu'il infecte.

En d'autres termes, voyant qu'il ne pouvait pas gagner de l'argent par cette attaque, ils ont décidé de se venger en causant le plus de dégâts possibles.

Cette cyberattaque rappelle les basiques

IIl s'agit de l’affaire du mot de passe, Qwerty1234, trop faible utilisé par IHG pour sécuriser son coffre fort numérique, mot de passe diffusé à grande échelle au sein de la chaîne. Ce qui choque c’est la simplicité du mot de passe : Qwerty1234, Qwerty correspondant aux premiers lettres d’un clavier anglais.

Cette affaire qui n’aura au final pas fait beaucoup de dégâts et n’aura à priori touché aucune donnée personnelle de clients, démontre une nouvelle fois que personne n’est à l’abri d’une attaque. Ceci concerne toutes les entreprises, y compris le petit hôtel de 8 chambres en rase campagne.

Elle impose enfin de prendre des précautions de base : mot de passe individuel, complexité des mots de passe, système d’alerte en cas de comportement anormal (en l’occurrence la suppression massive de données ou bases de données), etc.

La cybersécurité commence par la sécurité des mots de passe.

Nous vous conseillons d'utiliser Keeper Enterprise. Keeper est la plateforme de gestion des mots de passe en entreprise idéale pour votre stratégie IAM (gestion des identités et des accès). Keeper utilise une sécurité optimum avec une structure zero-trust et une architecture de sécurité à connaissance nulle (zero-knowledge) pour protéger vos données et limiter le risque de violation de données.

Une sécurité maximale avec des utilisateurs privilégiés ayant accès aux comptes identifiants et secrets les plus sensibles. Un service fournisseur d’identité qui gère les identités des utilisateurs de votre entreprise.

Le stockage de fichiers sécurisé de Keeper chiffre individuellement tous les fichiers chargés à l'aide de méthodes de chiffrement à connaissance nulle afin de garantir que seul l'utilisateur peut accéder à ses fichiers et les déchiffrer.

Le chiffrement et le déchiffrement des données des utilisateurs se fait au niveau de l'appareil (et non pas des serveurs Keeper.

Keeper prend en charge l'authentification à plusieurs facteurs, les clés de sécurité matérielles FIDO2, la connexion biométrique et Keeper DNA qui utilise l'Apple Watch ou un appareil Android Wear pour confirmer votre identité.

Console D'administration, Coffre-Fort Chiffré Pour Chaque Utilisateur, Accès Sur Un Nombre Illimité D'appareils, Dossiers D'équipe Partagés, Authentification À Deux Facteurs Basique (SMS, TOTP, Smartwatch Et FIDO U2F), Authentification À Deux Facteurs Avancée (DUO Et RSA), Authentification SSO Unique (SAML 2.0), Synchronisation Active Directory Et LDAP.