Caesars a déclaré dans un avis 8-K déposé auprès des régulateurs fédéraux avant l'ouverture des marchés jeudi que des pirates informatiques avaient volé une copie de la base de données du programme de fidélité de l'entreprise, qui comprend les numéros de permis de conduire et les numéros de sécurité sociale d'un « nombre important de membres ».
Un avis 8-K est un document que les sociétés cotées en bourse aux États-Unis doivent déposer auprès de la Securities and Exchange Commission (SEC) lorsqu’elles font face à des événements importants qui affectent leurs activités. Ces événements peuvent inclure, par exemple, des changements de direction, des fusions et acquisitions, des résultats financiers, des faillites, des litiges ou des violations de la sécurité. L’objectif d’un avis 8-K est d’informer les investisseurs et le public de manière rapide et transparente des faits susceptibles d’avoir un impact sur le cours de l’action ou la valeur de l’entreprise. Un avis 8-K doit être déposé dans les quatre jours ouvrables suivant l’événement déclencheur, sauf exceptions. Il doit contenir une description détaillée de l’événement.
Caesars a déclaré que d'autres données avaient été volées lors de la cyberattaque, mais n'a pas précisé quoi. On ne sait pas combien de personnes sont touchées par l’incident.
« Nous avons pris des mesures pour garantir que les données volées soient supprimées par l'acteur non autorisé, même si nous ne pouvons pas garantir ce résultat », a déclaré Caesars dans le dossier déposé auprès de la SEC, ce qui implique que la société avait payé une rançon comme indiqué.
Dans un autre avis de violation de données, Caesars a confirmé que la cyberattaque avait été provoquée par une ingénierie sociale sur un fournisseur informatique externe, que Caesars n'a pas nommé :
Caesars Entertainment (« Caesars ») a récemment identifié une activité suspecte sur son réseau informatique résultant d'une attaque d'ingénierie sociale contre un fournisseur de support informatique externe utilisé par la Société.
Après avoir détecté l'activité suspecte en cause, nous avons rapidement activé nos protocoles de réponse aux incidents et mis en œuvre des mesures pour renforcer la sécurité de notre réseau. Nous avons également lancé une enquête, engagé des sociétés de cybersécurité de premier plan pour nous aider et informé les forces de l'ordre et les régulateurs des jeux de hasard des États.
Le 7 septembre, nous avons déterminé que l'acteur non autorisé avait acquis, entre autres données, une copie de la base de données de notre programme de fidélité, qui comprend les numéros de permis de conduire et/ou les numéros de sécurité sociale d'un nombre important de membres de la base de données. Nous enquêtons toujours pour savoir si des informations personnelles supplémentaires ou autrement sensibles étaient contenues dans les fichiers acquis par l'acteur non autorisé. Nous n'avons aucune preuve à ce jour que les mots de passe/PIN des membres, les informations de compte bancaire ou les informations de carte de paiement (PCI) ont été acquis par l'acteur non autorisé.
Après avoir détecté l'activité suspecte en cause, nous avons rapidement activé nos protocoles de réponse aux incidents et mis en œuvre des mesures pour renforcer la sécurité de notre réseau. Nous avons également lancé une enquête, engagé des sociétés de cybersécurité de premier plan pour nous aider et informé les forces de l'ordre et les régulateurs des jeux de hasard des États.
Le 7 septembre, nous avons déterminé que l'acteur non autorisé avait acquis, entre autres données, une copie de la base de données de notre programme de fidélité, qui comprend les numéros de permis de conduire et/ou les numéros de sécurité sociale d'un nombre important de membres de la base de données. Nous enquêtons toujours pour savoir si des informations personnelles supplémentaires ou autrement sensibles étaient contenues dans les fichiers acquis par l'acteur non autorisé. Nous n'avons aucune preuve à ce jour que les mots de passe/PIN des membres, les informations de compte bancaire ou les informations de carte de paiement (PCI) ont été acquis par l'acteur non autorisé.
Caesars Entertainment aurait payé « des dizaines de millions de dollars » aux pirates informatiques qui menaçaient de divulguer les données de l'entreprise, a rapporté Bloomberg. L'attaque aurait été perpétrée par un groupe appelé Scattered Spider (alias UNC 3944), un groupe habile à utiliser l'ingénierie sociale pour contourner la sécurité des réseaux d'entreprise. Il s'agit de la deuxième attaque notable d'un groupe de casinos de Las Vegas, après un piratage ayant provoqué une cyber-panne chez MGM Resorts.
Les membres du groupe de piratage informatique se trouveraient aux États-Unis et au Royaume-Uni et auraient à peine 19 ans. Ils ont commencé à cibler Caesars dès le 27 août et ont obtenu l'accès à un fournisseur extérieur avant d'entrer dans le réseau de l'entreprise, selon le rapport.
Scattered Spider serait en activité depuis mai 2022 et aurait largement attaqué des organisations de télécommunications et d'externalisation d'entreprises, selon Trellix. Le groupe est connu pour se faire passer pour du personnel informatique et utilise l'ingénierie sociale pour persuader les responsables de l'entreprise d'utiliser la surveillance à distance et d'autres outils. À partir de là, ils exploitent les vulnérabilités et utilisent des outils comme « Stonestop » pour échapper aux logiciels de sécurité. Security Week les décrit comme des « acteurs menaçants motivés par des raisons financières ».
Le groupe a également été impliqué dans la cyber-panne de MGM Resorts, bien qu'un autre groupe de ransomware appelé ALPHV/BlackCat s'en soit également attribué le mérite. ALPHV affirme également avoir eu recours à l’ingénierie sociale pour pénétrer le réseau de MGM Resorts, affirmant qu’il n’a fallu qu’une conversation de dix minutes pour y accéder. Certains estiment que Scattered Spider serait affilié à ALPHV. Quoiqu'il en soit, MGM aurait refusé de payer la rançon demandée.
Lorsque les administrateurs du réseau MGM ont constaté qu’ils ne pouvaient pas expulser les parasites, le personnel a fermé diverses parties de leur infrastructure pour tenter de repousser les intrus.
« Après avoir attendu un jour, nous avons lancé avec succès des attaques de ransomware contre plus de 100 hyperviseurs ESXi dans leur environnement le 11 septembre après avoir essayé de les contacter en vain », s'est vanté le gang criminel, ajoutant que MGM Resorts ne semblait pas disposé à négocier avec les extorsionnistes pour mettre fin à l'attaque. Et si un accord n’est pas conclu, AlphaV peut divulguer des données, y compris des informations personnelles, volées à l’entreprise.
« Nous continuons d'avoir accès à certaines infrastructures de MGM. Si un accord n’est pas conclu, nous mènerons des attaques supplémentaires », indique le communiqué.
« Nous continuons d'attendre que MGM nous contacte car ils ont clairement démontré qu'ils savent où nous contacter », a ajouté le gang, faisant référence à son observation de quelqu'un entrant et sortant tranquillement d'un salon de discussion mis en place par AlphaV pour négocier le paiement d'une rançon.
Les opérations de MGM, l’un des plus grands opérateurs de casinos et d’hôtels du monde, étaient toujours perturbées quatre jours après l’annonce du piratage. Des messages d’erreur étaient affichés sur les machines à sous dans ses casinos de Las Vegas, selon des publications sur les réseaux sociaux.
Le FBI recommande de ne pas payer de rançon
Le FBI recommande de ne pas payer de rançon aux pirates informatiques pour plusieurs raisons :
- Payer la rançon encourage les pirates à continuer leurs attaques et à demander des sommes plus élevées.
- Payer la rançon ne garantit pas que les pirates restitueront les données ou qu'ils n'ont pas installé une porte dérobée pour revenir plus tard.
- Payer la rançon finance d'autres activités criminelles, comme le trafic d'armes, de drogues ou d'êtres humains.
- Payer la rançon peut exposer les victimes à des poursuites judiciaires si elles violent des sanctions ou des lois contre le financement du terrorisme.
- Payer la rançon ne résout pas le problème de fond, qui est le manque de sécurité et de prévention des systèmes informatiques.
Le FBI conseille plutôt aux victimes de ransomware de signaler immédiatement l'incident, de coopérer avec les autorités, de conserver les preuves et de restaurer leurs systèmes à partir de sauvegardes fiables. Le FBI dispose également de capacités techniques pour aider les victimes à déchiffrer leurs données sans payer la rançon.
Néanmoins, certaines entreprises choisissent de payer la rançon. C'est le cas de Colonial Pipeline, qui aurait versé près de 5 millions de dollars en bitcoins au groupe de pirates qui l'a forcé à fermer ses systèmes de manière proactive, conduisant les automobilistes de certains États américains à se ruer sur les stations-service.
Le PDG de Colonial Pipeline dit avoir autorisé le paiement de la rançon, d'un montant de 4,4 millions de dollars, parce que les dirigeants n'étaient pas sûrs de la gravité de la cyberattaque qui avait porté atteinte à ses systèmes ni du temps qu'il faudrait pour remettre le pipeline en état. Blount a reconnu publiquement qu'il s'agissait d'une option qu'il estimait devoir utiliser, compte tenu des enjeux liés à la fermeture d'une infrastructure énergétique aussi essentielle.
« Je sais que c'est une décision très controversée », a déclaré Blount dans ses premières remarques publiques depuis le piratage informatique. « Je ne l'ai pas prise à la légère. J'admets que je n'étais pas à l'aise de voir de l'argent partir vers des gens comme ça ». Il poursuit en disant que « c'était la bonne chose à faire pour le pays ».
« Cette décision n'a pas été prise à la légère », mais elle devait être prise, a déclaré un porte-parole de la société. « Des dizaines de millions d'Américains comptent sur Colonial – les hôpitaux, les services médicaux d'urgence, les forces de l'ordre, les services d'incendie, les aéroports, les chauffeurs routiers et les voyageurs ».
Sources : avis 8-k, note séparée de Caesars Entertainment sur l'incident
Et vous ?
Que pensez-vous de la décision de Caesars de payer la rançon aux pirates ? Est-ce une bonne stratégie pour protéger les données des clients ou un encouragement à la cybercriminalité ?
Quelles sont les conséquences possibles pour les clients de Caesars dont les données ont été volées ? Des risques d’usurpation d’identité, de fraude ou de chantage ?
Comment les entreprises du secteur du tourisme et des loisirs peuvent-elles se protéger contre les cyberattaques ? Quelles sont les mesures de sécurité et de prévention à mettre en place ?
Quel est le rôle des autorités dans la lutte contre les cyberattaques ? Comment peuvent-elles coopérer avec les entreprises victimes et les poursuivre en justice ?