Pour la deuxième fois en un an, plusieurs institutions financières se plaignent de fraude sur les cartes de crédit et de débit des clients qui ont toutes été récemment utilisées à une série de Marriott propriétés gérées par une société de franchise hôtelière Société de services d’hébergement blanc. White Lodging dit qu’il enquête, mais que jusqu’à présent, il n’a trouvé aucun signe d’une nouvelle brèche.
Le 31 janvier 2014, cet auteur a signalé pour la première fois des preuves d’une violation dans certains établissements de White Lodging. La société basée à Merrillville, Indiana a confirmé une violation trois jours plus tard, affirmant que des pirates avaient installé des logiciels malveillants sur des caisses enregistreuses dans des points de vente d’aliments et de boissons à 14 endroits du pays, et que les intrus avaient volé les données des cartes clients de ces points de vente pendant environ neuf mois.
Avance rapide jusqu’à fin janvier 2015, et BreachTrace a de nouveau commencé à entendre plusieurs institutions financières qui avaient retracé un schéma de fraude par carte contrefaite jusqu’à des comptes qui étaient tous utilisés dans les propriétés Marriott à travers le pays.
Des sources bancaires affirment que les cartes qui ont été compromises lors de cet incident le plus récent semblent avoir été volées dans bon nombre des mêmes établissements White Lodging impliqués dans la violation de 2014, y compris des hôtels à Austin, Texas, Bedford Park, Illinois, Denver, Indianapolis et Louisville, Kentucky. Ces mêmes sources ont déclaré que les compromis semblent une fois de plus être liés à des caisses enregistreuses piratées dans des établissements de restauration dans les hôtels gérés par White Lodging. Les transactions hôtelières légitimes qui ont précédé les débits de carte frauduleux ailleurs vont de la mi-septembre 2014 à janvier 2015.
Contacté au sujet des conclusions, le porte-parole de Marriott Jeff Flaherty a déclaré que toutes les propriétés citées par les banques comme source de fraude à la carte sont gérées par White Lodging.
« Nous avons récemment été informés de la possibilité de transactions inhabituelles par carte de crédit dans un certain nombre d’hôtels exploités par l’une de nos sociétés de gestion de franchise », a déclaré Flaherty. «Nous comprenons que la société de franchise se penche sur la question. Étant donné que le problème suspecté est lié à des systèmes que Marriott ne possède ni ne contrôle, nous n’avons pas d’informations supplémentaires à fournir. »
J’ai contacté White Lodging le 31 janvier. Dans une déclaration envoyée par e-mail aujourd’hui, le porte-parole de White Lodging Kathleen Sébastien a déclaré que la société avait engagé une société de sécurité pour enquêter sur les rapports, mais jusqu’à présent, cette équipe n’a trouvé aucune indication d’un compromis.
« D’après votre demande, nous avons engagé un audit médico-légal complet des propriétés en question », a écrit Sebastian. « Nous apprécions votre inquiétude et nous prenons cette information très au sérieux. À ce jour, nous n’avons trouvé aucune infection identifiable qui nous amènerait à croire qu’une violation s’est produite. Notre enquête est en cours. »
Sebastian a poursuivi en disant qu’au cours de l’année écoulée, White Lodging a adopté un certain nombre de nouvelles mesures de sécurité, notamment l’installation d’un système de pare-feu géré par un tiers, l’authentification à double facteur pour les systèmes critiques et «divers autres systèmes guidés par notre service de cybersécurité tiers. Bien que nous ayons exécuté des protocoles de sécurité supplémentaires, nous ne souhaitons pas divulguer spécifiquement au public tous les détails de toutes les mesures de sécurité.
TOKENISATION VS. CHIFFREMENT
Flaherty a déclaré que Marriott est sur le point d’achever un projet de modernisation des caisses enregistreuses des propriétés gérées par Marriott avec une technologie appelée tokenisationqui remplace les données de la carte par des informations d’espace réservé qui n’ont aucune valeur intrinsèque ou exploitable pour les attaquants.
« Comme cette affaire concerne les marques hôtelières Marriott, nous voulons garantir que Marriott s’est engagé de longue date à protéger la confidentialité des informations personnelles que nos clients nous confient et nous continuerons à surveiller la situation de près », a-t-il déclaré. « Marriott est actuellement sur la bonne voie pour que tous nos systèmes gérés aux États-Unis soient entièrement tokenisés d’ici un mois environ. »
Pressé de savoir si White Lodging utilisait également la tokenisation, Sebastian a déclaré que les systèmes de réception de toutes les propriétés Marriott gérées par White Lodging sont entièrement tokenisés, et que les terminaux de paiement dans d’autres parties de l’hôtel (y compris les restaurants, les bars et les boutiques de cadeaux) « sont en transition à la tokenisation et devraient être entièrement tokenisés d’ici la fin du deuxième trimestre.
La tokenisation en tant que solution de sécurité des cartes a tendance à être plus attrayante pour les entreprises qui doivent conserver les numéros de carte client dans leurs dossiers jusqu’à ce que la transaction soit finalisée, comme les hôtels, les bars et les services de location de voitures. Un rapport de janvier 2015 de Gartner Inc. analyste fraude Aviva Litan constaté qu’au moins 50 % des Niveau 1 à Niveau 3 Les marchands américains ont déjà adopté ou adopteront la tokenisation l’année prochaine.
Les commerçants conservent les jetons car ils doivent s’accrocher à un seul identifiant unique du client pour des choses comme la facturation récurrente, les programmes de fidélité, les rétrofacturations et les litiges. Mais les experts affirment que la tokenisation elle-même ne résout pas le problème qui a alimenté la plupart des violations de cartes de vente au détail ces dernières années : les logiciels malveillants installés à distance sur les appareils de point de vente qui volent les données des cartes des clients avant qu’elles ne puissent être tokenisées.
Litan de Gartner a déclaré qu’une approche alternative et beaucoup plus sécurisée du traitement des données de carte implique cryptage point à point — installant essentiellement des lecteurs de cartes et d’autres technologies qui garantissent que les données des cartes des clients ne sont jamais transmises en texte brut, où que ce soit dans l’environnement de vente au détail. Mais, a-t-elle déclaré, de nombreuses entreprises ont choisi la tokenisation en faveur du chiffrement, car elle est moins chère et moins compliquée à mettre en œuvre à court terme.
« Le cryptage point à point implique la mise à niveau de vos lecteurs de cartes, car vous voulez que le cryptage ne se produise pas au niveau logiciel – où il peut être piraté – mais au niveau matériel », a déclaré Litan. « Mais c’est cher et il n’y a pas beaucoup de fournisseurs agréés à choisir si vous voulez choisir un fournisseur qui est en conformité » avec Industrie des cartes de paiement (PCI), dont les violations peuvent entraîner des amendes et des audits coûteux, a-t-elle déclaré.
Les commerçants qui adoptent le cryptage point à point peuvent également se retrouver enfermés dans un seul processeur de carte de crédit, car la technologie de cryptage intégrée aux nouveaux lecteurs ne fonctionne souvent qu’avec un processeur spécifique, a déclaré Litan.
« Vous vous retrouvez avec un fournisseur ou un processeur verrouillé, car maintenant votre équipement est verrouillé sur un processeur de paiement, et vous ne pouvez pas facilement passer à un autre processeur si vous n’êtes plus satisfait de cet arrangement, car cela signifie changer votre équipement. « , a déclaré Litan.
En fin de compte, de nombreuses entreprises, en particulier les hôtels, optent pour la tokenisation car elle peut considérablement simplifier leur processus de preuve de conformité aux normes PCI. Par exemple, les commerçants qui conservent les données des cartes clients pendant un certain temps jusqu’à ce qu’une transaction soit finalisée peuvent être tenus de réaliser une évaluation de sécurité exigeant une preuve de conformité à quelque 350 exigences PCI différentes, tandis que les commerçants qui ne stockent pas les données électroniques des titulaires de carte ou ont remplacé ce processus par la tokenisation ont probablement environ 90 % d’exigences PCI en moins à satisfaire.
« Dans de nombreux cas, il s’agit moins de sécurité que de simplification de la conformité PCI pour réduire la portée de l’audit, car vous obtenez de grandes récompenses lorsque vous ne stockez pas les données de carte de crédit », a déclaré Litan. « Malheureusement, les normes PCI n’ont pas le même genre de récompenses lorsqu’il s’agit de sécuriser les données de carte en transit [across a retailer’s internal network and systems] c’est ce à quoi s’adresse le chiffrement point à point.
Les commerçants aux États-Unis se tournent progressivement vers l’installation de lecteurs de cartes pouvant accueillir des cartes à puce plus sécurisées et conformes à la norme Europay, MasterCard et Visa ou EMV. Ces cartes à puce sont conçues pour être beaucoup plus chères et difficiles à contrefaire pour les voleurs que les cartes de crédit ordinaires que la plupart des consommateurs américains ont dans leur portefeuille. Les cartes sans puce stockent les données du titulaire de la carte sur une bande magnétique, qui peuvent être copiées de manière triviale par des logiciels malveillants au point de vente.
Les cartes à bande magnétique sont la cible principale des pirates qui se sont introduits chez des détaillants comme Target et Home Depot et ont installé des logiciels malveillants sur les caisses enregistreuses : les données sont très précieuses pour les escrocs car elles peuvent être vendues à des voleurs qui encodent les informations sur du nouveau plastique et allez faire du shopping dans les magasins à grande surface pour des articles qu’ils peuvent facilement revendre contre de l’argent (pensez aux cartes-cadeaux et aux appareils électroniques à prix élevé).
Les nouveaux lecteurs de cartes EMV/à puce peuvent permettre une gamme d’options de paiement et de sécurité supplémentaires, y compris le cryptage point à point et les paiements mobiles, tels que Pommedu nouveau système Apple Pay. Mais l’intégration d’EMV aux schémas de tokenisation existants peut également présenter des défis pour les commerçants. Par exemple, Apple Pay utilise un processus de tokenisation EMV distinct.
« Cela signifie que les commerçants qui utilisent leur propre système de tokenisation et choisissent d’accepter les paiements Apple Pay se retrouveront avec plusieurs jetons pour un numéro de carte, battant ainsi une raison majeure pour laquelle de nombreux commerçants ont adopté la tokenisation en premier lieu », a déclaré Litan.