Pendant plus de cinq ans, la chaîne hôtelière Marriott a soutenu que, lors de la violation massive de données dont elle a été victime en 2018, son niveau de chiffrement (AES-128) était si fort que les poursuites engagées contre elle devaient être abandonnées. Mais, lors d'une audience qui a eu lieu le 10 avril, ses avocats ont admis qu'elle n'avait jamais utilisé ce protocole au moment de la violation. En fait, à l'époque, elle se servait de l'algorithme de hachage sécurisé 1 (SHA-1), qui est un mécanisme de hachage et non de chiffrement. Lors de l'audience du tribunal de district du Maryland, Division sud, le juge John Preston Bailey a ordonné à Marriott « de rectifier toute information sur son site web dans un délai de sept jours ».

Marriott n'a pas publié de communiqué de presse et n'a pas signalé le changement sur sa page d'accueil. Au lieu de cela, l’entreprise a ajouté deux phrases à une page de son site web datant du 4 janvier 2019. Le seul moyen pour les consommateurs, les actionnaires, les journalistes ou toute autre personne de le voir est de cliquer sur la page vieille de cinq ans. Deux mentions indiquent que « à la suite d'une enquête menée avec plusieurs experts de sécurité des données de premier plan, Marriott a initialement déterminé que les numéros de carte de paiement et certains numéros de passeport dans les tables de base de données impliquées dans l'incident de sécurité de la base de données Starwood que Marriott a signalé le 30 novembre 2018 étaient protégés par un chiffrement Advanced Encryption Standard 128 (AES-128). Marriott a maintenant déterminé que les numéros de cartes de paiement et certains des numéros de passeport dans ces tables étaient plutôt protégés par une méthode cryptographique différente connue sous le nom de Secure Hash Algorithm 1 (SHA-1) ».

Une fausse déclaration aux assureurs

Jusqu'à présent, la chaîne hôtelière n'a répondu à aucune des questions cruciales sur cet aveu. Qu'est-ce qui a amené l'entreprise à penser initialement qu'elle avait utilisé AES-128, à supposer qu'elle l'ait effectivement cru ? Après les enquêtes judiciaires menées par des entreprises extérieures, notamment Accenture, Verizon et CrowdStrike, comment se fait-il que personne n'ait remarqué qu'il n'y avait en fait aucun chiffrement en place ? Et s'ils l'avaient remarqué, pourquoi l’entreprise a-t-elle continué à soutenir la fausse allégation de cryptage ? Et surtout, quand et comment Marriott a-t-elle découvert la vérité ? Douglas Brush, adjoint désigné auprès des tribunaux fédéraux américains et Chief Visionary Officer d'Accel Consulting, qui ne travaille pas sur l'affaire en question, a déclaré que ce revirement de Marriott pouvait avoir de sérieuses implications pour l'entreprise. Au-delà de Marriott, il pointe certains risques associés à toute fausse déclaration dans une affaire de violation. « Par ses fausses déclarations à ses assureurs, la chaîne hôtelière a-t-elle cherché à obtenir une couverture avant et pendant l'événement afin de couvrir les pertes ? Si Marriott a effectivement fait de fausses déclarations, cela constituerait une violation manifeste du contrat avec l’opérateur. Ce dernier pourrait intenter une action en recouvrement de la couverture », a expliqué M. Brush.

« De plus, selon le principe de due diligence qui s’applique aux fusions et acquisitions, qui a dit qu'il y avait une certaine norme de cryptage en place pour les données ? L'acheteur, le vendeur, les deux ? Cela pose désormais des problèmes à la SEC parce que la due diligence n'a pas tenu compte d'un élément qui s’étend maintenant dans la durée et un impact matériel important. « Par ailleurs, si cet élément est remarqué et appuyé, aura-t-il un impact sur les prix des actions en 2024 et donnera-t-il lieu au dépôt d’un formulaire 8K pour une divulgation transparente ? » En mars 2019, l'entreprise avait déclaré 28 millions de dollars de dépenses liées à la violation.

Les efforts de détection de la fraude entravés, selon les avocats des plaignants

Les avocats des consommateurs qui poursuivent Marriott ont fait valoir au juge Bailey que ces récentes informations étaient graves, car il est bien admis que le SHA-1 n’est pas du chiffrement et qu’il peut être piraté très rapidement. « En fait, les cartes de paiement ne permettent même pas de protéger les informations à l'aide de ce type d'algorithme », a déclaré l'avocate Amy Keller. De plus, Marriott a dit à ses clients de ne pas s’inquiéter, « car elle n’avait trouvé aucune preuve généralisée de fraude ». Le problème avec cette déclaration, c'est qu'elle ne tient pas compte du fait que quand on dit aux gens que certaines informations sont cryptées, deux choses se produisent.

La première, c’est que les marques de cartes comme Mastercard et VISA cessent d'enquêter sur les fraudes généralisées. Ainsi, si la marque de carte a déterminé qu'une fraude généralisée n'a pas pu se produire parce que les informations étaient chiffrées, le type d'informations qu'elle recherchait est maintenant perdu à jamais parce que la violation date d’il y a cinq ans ». Dans un document déposé au tribunal, l'avocat des plaignants a ajouté qu'une déclaration de l'experte en responsabilité Mary Frantz indiquait que la protection des données des cartes de paiement par SHA-1 est fonctionnellement la même que l'absence de chiffrement, « car tout pirate informatique utilisant un ordinateur portable moderne aurait pu révéler les numéros de cartes de paiement et de passeports exfiltrés de la base de données de Marriott ».