Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

L’industrie hôtelière a un problème de malware de points de vente

Suis-je le seul à trouver la récente montée des violations de données dans les hôtels fondamentalement préoccupante ? En tant que voyageur, vous êtes dans une position vulnérable, et vous...
Michael Buckbee
5 minute de lecture
Publié 22 février 2016
Dernière mise à jour 5 octobre 2023

Suis-je le seul à trouver la récente montée des violations de données dans les hôtels fondamentalement préoccupante ? En tant que voyageur, vous êtes dans une position vulnérable, et vous voulez croire que la chambre que vous avez réservée constitue votre forteresse. Et une forteresse sécurisée : les portes comportent souvent plusieurs serrures, la chambre contient un minuscule coffre-fort pour entreposer vos objets de valeur, et des caméras de sécurité gardent le hall.

Bien sûr, en tant que structures d’accueil, les hôtels ont reconnu depuis longtemps qu’ils ont des responsabilités spéciales. Mais les hôtels hébergent aussi vos données, et en particulier vos données de carte de crédit. D’après la recrudescence des vols de données dans les hôtels, ce secteur d’activité ne s’est pas montré à la hauteur en matière de sécurité. Il s’avère que le vecteur d’attaque de ces violations hôtelières est le même logiciel malveillant de points de vente (PDV) employé contre les grandes surfaces.

Exactement. BlackPos et d’autres variantes de RAM scrapers ont pris de longues vacances dans les hôtels (pendant plusieurs mois apparemment) et y ont capturé de nombreux numéros de carte de crédit.

Ce qui rend toute l’affaire si surprenante est que peu de choses ont été apprises des énormes violations de la grande distribution.

Scénario d’attaque d’un logiciel malveillant de PDV

Il n’y a rien de vraiment nouveau dans la chaîne d’attaque de ces incidents. Peut-être seulement une chose. Il existe un nouveau malware de PDV plus furtif que les techniques de la vieille école et qui pourrait avoir joué un rôle dans certains cambriolages de données hôtelières.

En tout cas, la plupart des analystes en sécurité seraient probablement d’accord sur le scénario suivant :

  • Les attaquants entrent par (bâillement) phishing, injection SQL ou une autre vulnérabilité bien connue (mots de passe par défaut, etc.). Ils utilisent probablement un RAT ou un autre outil pour la partie initiale de l’attaque.
  • Après avoir établi une tête de pont, ils se déplacent latéralement au moyen de techniques standard telles que le balayage des ports, le contournement des conventions de nommage des hôtes, le craquage des mots de passe et le Pass the Hash, toutes les méthodes que nous avons abordées dans notre série d’évaluations écrites. Le but consiste à trouver une machine ou un serveur de PDV.
  • Après avoir identifié les périphériques de PDV, les attaquants insèrent la charge utile (le logiciel spécial de lecture de la RAM) et quittent les lieux. À ce stade, ce logiciel « PoSware » prend le relais, contrôlé à distance par les pirates depuis leurs serveurs C2.
  • Le PoSware commence à scruter la mémoire du système d’exploitation et à recueillir des données de cartes de crédit, puis vide périodiquement ces données vers le système de fichiers.
  • Enfin, le PoSware exfiltre le fichier de données de cartes de crédit vers les serveurs C2 en l’incorporant à des requêtes HTTP de type POST ou GET.

Bien qu’il existe des variations, le modus operandi ci-dessus reste vrai pour la plupart des attaques de PDV que nous avons vues au cours de ces dernières années.

Jouer en défense

Mais tout comme nous savons comment l’attaque se déroule, les experts en sécurité comprennent aussi la chaîne de destruction, ou comment arrêter l’attaque à différents points de son cycle. Nous avons également rassemblé certains de ces conseils dans un article écrit en 2014.

Cependant, un des facteurs susceptibles d’avoir changé la donne est que les amateurs ont été remplacés par des pros. Des bandes telles que Black Atlas ont transformé le piratage de PDV en entreprise criminelle.

Il devient donc encore plus essentiel d’augmenter de quelques crans la priorité informatique de la chaîne de destruction des PoSware, en particulier si vous travaillez dans le secteur de l’hôtellerie et des loisirs.

Voici quelques domaines clés dans lesquels je pense qu’un modeste investissement apportera d’énormes avantages en matière de sécurité :

  • Formation des employés – Si vous expliquez à vos employés ce à quoi ressemble un phish mail, vous pouvez arrêter la plupart des attaques dès le début. Dire aux employés de ne jamais cliquer sur un lien ou une pièce jointe d’un courrier électronique externe avant de s’assurer de l’identité de l’expéditeur constitue une bonne stratégie. Nous vous recommandons notre propre e-book sur la question, Anatomy of a Phish.
  • Gouvernance des données – Les attaquants ne sont pas des extra-terrestres issus d’une civilisation avancée. Comme le reste de l’humanité, ils doivent accéder au système de fichiers lors de la phase initiale de surveillance et d’exfiltration. L’idée consiste à examiner soigneusement les listes de contrôle d’accès et à restreindre les accès afin que les pirates ne puissent pas tirer parti des informations d’identification d’un utilisateur aléatoire pour lire, copier et créer des fichiers dans les dossiers et répertoires sensibles.
  • Listes d’autorisation – Les systèmes de PDV ne devraient exécuter que les logiciels d’un ensemble bien défini. Après tout, ce sont des ordinateurs dont le but est uniquement de traiter des transactions de cartes de crédit. En théorie, les logiciels de listes d’autorisation qui empêchent le SE de lancer des exécutables non standard constituent un antidote à ces logiciels de piratage. Cependant, la cuvée peut changer. Certaines attaques récentes utilisaient des techniques de rootkit modifiant le noyau qui rendaient ainsi le logiciel malveillant pratiquement invisible au système d’exploitation.
  • Gestion des correctifs – Assurez-vous de disposer des correctifs de sécurité les plus récents. Nous en avons assez dit.
  • Gestion des informations d’identification/prévention du Pass the Hash (PtH) – Une vaste catégorie. En clair : ne facilitez pas la tâche aux pirates quand il s’agit d’obtenir des informations d’identification. Assurez-vous d’avoir mis en place des stratégies de mots de passe robustes. Recherchez et supprimez les fichiers de mots de passe en clair ou les fichiers de hachage de mots de passe. Et si possible, désactivez le stockage des mots de passe en clair effectué par Windows en mémoire LSASS. Enfin, assurez-vous que les comptes d’administrateurs de niveau domaine ne sont pas utilisés pour la mise en réseau des machines des utilisateurs : cela permet aux pirates de voler les joyaux de la couronne au moyen du PtH.

Qui veut l’UBA ?

Les attaquants misent sur la chance, et ils peuvent donc quand même en avoir : des mots de passe par défaut qui n’ont pas été changés, un correctif qui a été négligé, ou une attaque de phishing ou de point d’eau dirigée contre le directeur informatique.

Et il existe des vulnérabilités zero day contre lesquelles il est impossible de se protéger.

C’est là que la surveillance et la notification entrent en jeu. Mais pas seulement la détection d’intrusion ou la recherche de virus standard. Rappelez-vous : les attaquants de PDV se trouvent à l’intérieur et jouent de manière trop furtive pour les techniques de détection conventionnelles.

Mon conseil se résume en cinq mots : analyse du comportement des utilisateurs (User Behavior Analytics, UBA).

En tant que personne chargée de la sécurité informatique dans l’industrie hôtelière, vous ne pourrez pas détecter ces intrus sans prendre en compte les activités des utilisateurs et du système concernant les fichiers.

Bien qu’ils puissent ressembler à des utilisateurs ordinaires, les attaquants dévoileront leur jeu en accédant à des fichiers de configuration du système, en copiant ou en déplaçant un grand nombre de fichiers, ou en chiffrant des données de carte de crédit, autant d’activités atypiques pour un utilisateur normal.

C’est là où l’UBA entre en scène. Elle analyse le comportement moyen ou normal des utilisateurs réels indépendamment de leurs informations d’identification et informe le groupe de sécurité lorsque des écarts se produisent.

Bien que vous ne puissiez pas prévenir une intrusion dans un système de PDV d’hôtel, grâce à l’UBA, vous pourrez détecter les activités des attaquants bien en amont dans la chaîne de destruction et dans l’idéal empêcher l’extraction des données de cartes de crédit.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
guide-de-l’acheteur-de-dspm
Guide de l’acheteur de DSPM
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
derrière-la-refonte-de-la-marque-varonis
Derrière la refonte de la marque Varonis
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).