Géant de l’hôtellerie Hôtels et centres de villégiature Hilton a récemment commencé à offrir Prix Hilton HHonors membres 1 000 points de récompense gratuits à ceux qui ont accepté de changer leurs mots de passe pour le service en ligne avant le 1er avril 2015, date à laquelle la société a déclaré que le changement deviendrait obligatoire. Ironiquement, cette même campagne a conduit à la découverte d’une faille simple mais puissante dans le site qui permettait à quiconque de détourner un compte Hilton Honors simplement en connaissant ou en devinant son numéro de compte Hilton Honors valide à 9 chiffres.
Jusqu’à ce qu’il soit informé par BreachTrace d’une faille dangereuse sur son site, Hilton offrait 1 000 points aux clients qui avaient changé leur mot de passe avant le 1er avril 2015.
La vulnérabilité a été découverte par Brandon Potier et JB Snyderrespectivement consultant technique en sécurité et fondateur d’une société de conseil et de test en sécurité Bancsec. Les deux ont découvert qu’une fois qu’ils s’étaient connectés à un compte Hilton Honors, ils pouvaient détourner n’importe quel autre compte simplement en connaissant son numéro de compte. Il a suffi de modifier légèrement le contenu HTML du site, puis de recharger la page.
Après cela, ils pourraient voir et faire tout ce qui est disponible pour le titulaire légitime de ce compte, comme changer le mot de passe du compte ; visualiser les voyages passés et à venir ; échange de points Hilton Honors contre des réservations de voyage ou d’hôtel dans le monde entier ; ou que les points soient envoyés en espèces sur des cartes de crédit prépayées ou transférés sur d’autres comptes Hilton Honors. La vulnérabilité a également exposé l’adresse e-mail du client, son adresse physique et les quatre derniers chiffres de toute carte de crédit enregistrée.
J’ai vu cette vulnérabilité en action après avoir donné à Snyder et Potter mon propre numéro de compte Hilton Honors, et quelques secondes plus tard, j’ai vu des captures d’écran d’eux connectés à mon compte. Quelques heures après que cet auteur ait alerté Hilton de la découverte, le site Hilton Honors a temporairement cessé d’autoriser les utilisateurs à réinitialiser leurs mots de passe. La faille qu’ils ont découverte semble maintenant être corrigée.
« Hilton Worldwide a récemment confirmé une vulnérabilité dans une section de notre site Web Hilton HHonors, et nous avons pris des mesures immédiates pour remédier à la vulnérabilité », a écrit Hilton dans un communiqué envoyé par e-mail. « Comme toujours, nous encourageons les membres Hilton HHonors à consulter leurs comptes et à mettre à jour régulièrement leurs mots de passe en ligne par mesure de précaution. Hilton Worldwide prend la sécurité des informations très au sérieux et nous nous engageons à protéger les informations personnelles de nos clients.
Snyder a déclaré que le problème provenait d’une faiblesse courante des applications Web appelée falsification de demande intersite (CSRF), un type d’attaque qui se produit lorsqu’un site Web, un e-mail, un blog, un message instantané ou un programme malveillant amène le navigateur Web d’un utilisateur à effectuer une action indésirable sur un site de confiance pour lequel l’utilisateur est actuellement authentifié.
La faille CSRF était doublement dangereuse car le site de Hilton n’exigeait pas que les utilisateurs connectés ressaisissent leurs mots de passe actuels avant d’en choisir un nouveau.
« S’ils ont autant d’informations personnelles sur les gens, ils devraient être tenus de tester les applications Web avant de publier des modifications sur Internet », a déclaré Snyder. « Surtout s’ils ont des millions d’utilisateurs comme je suis sûr qu’ils le font. »
Snyder a déclaré que les attaquants pourraient facilement énumérer les numéros de compte Hilton Honors en utilisant le site Web de la société, qui s’appuie sur une page de réinitialisation du code PIN qui vous indiquera si un numéro à 9 chiffres est un compte valide.
« Il existe un milliard de combinaisons, mais ce test sur la page de réinitialisation du code PIN pourrait être facilement automatisé », a déclaré Snyder.
Hilton n’autorise plus les utilisateurs à choisir un code PIN comme mot de passe, et ceux qui tentent de réinitialiser leur mot de passe après s’être connectés avec leur code PIN sont invités à choisir un mot de passe d’au moins huit caractères, contenant au moins une lettre majuscule et un chiffre ou caractère spécial. Cependant, les changements de mot de passe ultérieurs n’exigent toujours pas que les utilisateurs entrent leur mot de passe existant.
Il est probable que l’offre de 1 000 points pour les clients qui ont volontairement changé leur mot de passe avant le 1er avril 2015 visait à inciter davantage de clients à abandonner leur code PIN à 4 chiffres. Le recours de Hilton à un code PIN à 4 chiffres pour sécuriser les comptes de fidélisation des clients a été accusé l’année dernière d’un pic de prises de contrôle de compte dans lequel les clients se sont connectés pour découvrir que les voleurs avaient encaissé ou autrement volé leurs points de récompense.
De nombreuses compagnies aériennes qui proposent des programmes de récompenses permettent également aux clients de se connecter avec rien de plus qu’un numéro de membre et un code PIN, y compris Qantas et Uni.