DarkHotel : attaque informatique dans les hôtels

Piratage de données informatiques dans les hôtels, une technique malveillante aux multiples visages que ZATAZ va vous décortiquer pour vous permettre de vous en protéger. L’éditeur de solutions de sécurité informatique Kaspersky vient de révéler une attaque informatique, qui aurait débuté en 2010, et ayant visé des patrons, pensionnaires d’hôtels de luxe. L’idée des pirates, récupérer les informations des clients via les connexions Internet. Malheureusement, un grand classique qui ne vise pas que les dirigeants d’entreprises.

Il y a un an, le site Data Security Breach expliquait dans un article baptisé « Dîner de cons dans les ordinateurs des Hôtels » comment il m’avait été possible, via plusieurs dizaines d’ordinateurs proposés en accès libres dans des hôtels du monde, d’accéder à des données privées appartenant à des employés d’entreprises Françaises. Plus de 25.000 documents sensibles avaient été extraits, très simplement, des disques durs des machines prêtées par les Hôtels. Des fichiers, des tableaux, des courriels sauvegardés automatiquement dans les machines (PC et MAC).

Ce mardi 11 novembre, Kaspersky a profité d’un calme médiatique pour annoncer la découverte d’une attaque que cette entreprise a baptisé DarkHotel (Hôtel obscure). Environ 90% des piratages ont été localisés au Japon, à Taïwan, en Chine, en Russie et en Corée du Sud. Les « pirates » ciblaient des dirigeants Américains, Canadiens, … « Les cibles les plus intéressantes incluent de hauts dirigeants des États-Unis et d’Asie qui font des affaires et des investissements dans la région Asie-Pacifique. » souligne l’éditeur Russe. Un véritable jeu du chat et de la souris entre les pirates et le reste du monde.

Un véritable jeu du chat et de la souris entre les pirates et le reste du monde.

Un véritable jeu du chat et de la souris entre les pirates et le reste du monde.

Comment font les pirates

Pour le cas de DarkHotel, rien de plus simple. Réussir à rentrer dans les outils de gestion des connexions wifi des hôtels. Il suffit, ensuite pour le pirate, de se mettre au milieu et de tout intercepter, tout « sniffer ». ZATAZ.COM a pu rencontrer ce genre d’attaque dans différents lieux de villégiatures, en Afrique du Nord, mais aussi du côté de l’Ile Maurice ou encore au Mexique.Dernier exemple en date, au Maroc, voilà 15 jours. Aider un restaurant qui avait une connexion wifi proposée au client. Le mot de passe était bien présent pour s’y connecter, mais via mon téléphone portable, il m’a été possible d’accéder à la console d’administration de la box et donc, de modifier, créer, effacer, des accès wifi normalement « sécurisés ». L’entreprise n’avait pas changé le mot de passe « usine » de sa box. Un mot de passe « Usine » qui peut faire de gros dégâts, comme pour le cas de 73.000 caméras de vidéo surveillance sur IP mal sécurisées diffusées ces derniers jours sur le web.

Facile aussi, la création de vraies-fausses connexions wifi. Rien de plus simple à mettre en place. Les internautes clients aperçoivent une connexion au nom de l’hôtel et le tour est joué. Prudence aussi au portail dit « captif » des hôtels, aéroports, … Un pirate équipé et ayant travaillé en amont son attaque peut y cacher les outils pirates qui viendront s’inviter dans votre machine. Comme ? Via une fausse mise à jour d’outils Internet (Fausses mises à jour de navigateur, de PDF, vidéo, …).

Le patron, un idiot du village planétaire ?

Si les patrons et autres responsables d’entreprises et de services sensibles peuvent être la cible d’attaque « DarkHotel », il y a deux autres catégories d’internautes à être visés : les vacanciers et les joueurs de pokers. Ce dernier cas est loin d’être un épiphénomène. Depuis plusieurs années, des piratages d’ordinateurs de joueurs lors de tournois. Dernier cas en date connu, l’European Poker Tour de Barcelone. Au moins trois joueurs professionnels de poker (Jens Kyllönen, Ignat Liviu et Aku Joentausta), qui logeaient dans l’Hôtel ARTS, ont vu leurs ordinateurs portables disparaitre, pu revenir dans la chambre. Les victimes ont découvert qu’une personne avait tenté d’installer un logiciel espion dans leurs machines.

Comment se protéger ?

Facile, ou presque. Première chose à posséder, un VPN ! Un outil qui permettra à vos connexions d’être chiffrées et protégées de l’utilisation malveillante de votre connexion du moment.

Une fois cet outil INDISPENSABLE entre vos mains, réfléchir à ce que vous emportez durant vos voyages d’affaires ou de détente. Avez-vous besoin de garder dans l’ordinateur portable, le smartphone, la tablette qui vous suivent mails, mots de passe, documents de votre entreprise ? Si votre « précieux » ne peut pas rester au bureau et/ou à la maison, choisissez de partir avec du matériel qui ne sert qu’aux voyages. Il en va de votre sécurité et de celle de votre entreprise. Imaginez, vous revenez d’un voyage d’affaire avec dans vos bagages : cartes postales, petits cadeaux… et un cheval de Troie qui rentrera directement dans l’ordinateur du bureau par votre entremise.

A l’hôtel, des solutions physiques et numériques sont à mettre en place. D’abord chiffrer les disques durs de vos matériels : ordinateur, téléphone, tablette. Si vous emportez une clé USB, utilisez un outil qui empêche les installations et exécutions sauvages.

Même si cette défense parait légère face à un pirate aguerri et efficace, un antivirus mis à jour est obligatoire.

N’hésitez pas à changer votre mot de passe avant de partir. Un précieux à changer à votre retour. Attention, modifiez aussi le  mot de passe du bios de votre ordinateur (F1, F2, F8, F12, selon les marques, NDLR zataz.com). Le mot de passe bios vous évitera les modifications de démarrage de votre machine, vers une clé USB ou CD boot casseur de mot de passe [Voir].

Portable et hôtel

Vous allez peut-être me prendre pour un paranoïaque, mais mon ordinateur portable est formaté à chaque retour de voyage. Côté sécurité physique, j’utilise une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement est détecté dans ma chambre du moment. Pensez à ranger votre machine dans le coffre de votre chambre ? L’ANSSI le déconseille fortement. Il existe une « Master Key » qui permet d’ouvrir les coffres. Une certaine catégorie du personnel peut y avoir accès. Attention aussi, comme le montrait il y a peu G Data, les coffres forts des hôtels sont très loin d’être des forteresses imprenables. Pensez aussi à retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons ci-dessous, il existe des prises qui permettent d’être scindées en trois parties : le câble, l’alimentation et la prise. De quoi retarder le pirate. Pensez à cacher la marque de votre ordinateur. La base d’un piratage informatique efficace : l’analyse de l’environnement de sa cible. Le Social Engineering débute dans l’étude de la marque de la machine employée par la future victime du pirate. Autant éviter de donner au pirates des « clés » (Failles, 0day, …) pour réussir à pénétrer le « matos » vite et bien.

Utiliser un câble antivol

N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire. Je prends aussi, en photo, les vis des disques durs. Si ces dernières ont bougé, ont été déplacées, vous pourrez vous en rendre compte. Prudence aussi à votre appareil photo numérique, à votre baladeur MP3, …. Modifier le contenu de la carte SD est simple. Cacher un code malveillant est rapide. L’ennemi se baladera avec vous. Et vous finirez par rentrer, un jour ou l’autre, le support de sauvegarde dans un ordinateur qui pourra être ainsi infiltré.

Pour finir, protéger aussi passeport et cartes bancaires. Nos documents « causent » en NFC aujourd’hui. Leurs contenus pourraient être interceptés. Des pochettes permettent de bloquer les ondes et donc une lecture non autorisée. A noter que l’ANSSI a publié en janvier 2010 un document baptisé « Passeport de conseils aux Voyageurs » qu’il est bon de consulter au moins une fois.

Dernier point, si aucune de ces solutions proposées par zataz.com n’est à votre goût, gardez à l’esprit cette phrase : « L’ordinateur, c’est comme le fusil d’un soldat. On dort avec, on va aux toilettes avec, on sort de sa chambre avec. »

 

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Pingback: ZATAZ » Fuite de données pour le groupe hôtelier Marriott

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.