Après qu'un groupe de cybercriminels a affirmé avoir volé les données de 560 millions de clients de Ticketmaster, la société mère de l'entreprise de vente et de distribution de billets a mené l'enquête. Suite à ces investigations, elle a déclaré vendredi dernier à la commission des marchés financiers (SEC) des États-Unis avoir identifié une activité non autorisée avec l'un des partenaires cloud de sa filiale. « Le 20 mai 2024, Live Nation Entertainment a identifié une activité non autorisée dans un environnement de base de données cloud tiers contenant des informations d'entreprise - principalement de sa filiale Ticketmaster LLC - et a lancé une enquête avec des enquêteurs assermentés pour comprendre ce qui s'est passé », indique la SEC. Le dossier ne mentionne pas le nombre de comptes clients concernés, mais il semble faire référence aux revendications du groupe de cybercriminels ShinyHunters.
« Le 27 mai 2024, un acteur de la cybermenace a mis en vente sur le dark web ce qu'il prétendait être des données d'utilisateurs de l'entreprise. Nous nous efforçons d'atténuer les risques pour nos utilisateurs et pour l'entreprise, et nous avons informé les forces de l'ordre et coopérons avec elles. Le cas échéant, nous informons également les autorités réglementaires et les utilisateurs de l'accès non autorisé à des informations personnelles », a expliqué LiveNation. Cette société fait actuellement l'objet de poursuites antitrust (avec demande de démantèlement) par le gouvernement américain pour avoir gonflé illégalement le prix des billets, et déclaré qu'elle ne pensait pas que la violation aurait un impact important sur ses activités ou sa situation financière. « Nous continuons à évaluer les risques et nos efforts de remédiation se poursuivent », a aussi indiqué LiveNation.
Le partenaire cloud à l'origine de la violation pas encore identifié
L'entreprise n'a pas identifié le partenaire cloud en question, mais l'un de ses fournisseurs cloud - Snowflake - a publié de son côté sa propre déclaration le 2 juin, faisant référence aussi à une « activité cybermalveillante ». Plusieurs médias ont fait le lien entre la situation de Ticketmaster et la déclaration de Snowflake, mais le RSSI n'a pas pu confirmer avec certitude que les deux incidents étaient liés. Le fournisseur de datawarehouse cloud a déclaré dans son communiqué qu'il avait récemment observé et enquêté sur une augmentation des menaces ciblant certains comptes de ses clients.
« Nous pensons qu'il s'agit du résultat d'attaques en cours ciblant les identités dans l'ensemble de l'industrie avec l'intention d'obtenir des données sur les clients. Les recherches indiquent que ces types d'attaques sont menées à l'aide des informations d'identification de nos clients qui ont été exposées dans le cadre d'une cybermenace sans rapport avec le sujet », a déclaré la société. « À ce jour, nous ne pensons pas que cette activité soit causée par une vulnérabilité, une mauvaise configuration ou une activité malveillante au sein du produit Snowflake. Tout au long de notre enquête en cours, nous avons rapidement informé le nombre limité de clients qui, selon nous, ont pu être affectés ». L'éditeur revendique quelque 9 437 clients, dont Albertsons, JetBlue, Honeywell, Disney, MasterCard, Pfizer et Petco.
Des dommages propagés à d'autres environnements cloud ?
Danielle Stepien, CEO d'Igniter Engineering, qui travaille dans le domaine de la cybersécurité pour l'aérospatiale et d'autres secteurs verticaux connexes, craint que cet exploit de faille ne soit le signe d'une menace généralisée. « S'il s'agit d'une attaque par ransomware, il pourrait s'agir d'une sorte d'infection qui aurait un impact considérable sur les opérations commerciales et pourrait affecter les chaînes d'approvisionnement, d'autres systèmes dont nous n'avons pas encore connaissance publiquement, et bien plus encore », explique-t-il. « Le fait que le piratage ait été effectué dans le cloud est une mauvaise chose, car il peut affecter n'importe quel autre système utilisant le même cloud », ajoute-t-il. Danielle Stepien précise par ailleurs que la nature de ce type d'exposition à des tiers pourrait étendre les dommages avec une escalade du risque cyber.
« Les piratages de bases de données ont d'énormes implications, qu'ils aient lieu dans le cloud ou sur site. Vous n'avez aucune idée de la façon dont une base de données est connectée à toutes les autres bases de données, car il s'agit évidemment d'une connaissance propriétaire », a fait savoir Danielle Stepien. « Si elles sont connectées, les conséquences sur les opérations commerciales sont énormes pour tout ce qui est touché. »
Les dernières directives de la SEC en matière de déclaration d'incidents suivies
Il semble que Live Nation ait pris au sérieux les récentes directives révisées de la SEC concernant le formulaire de déclaration à utiliser lorsqu'un incident de sécurité n'est pas clairement établi, en l'occurrence le 8.01. La confusion qui règne autour des exigences de la SEC en matière de déclaration tient en partie au fait que les entreprises sont désormais invitées à déterminer si un incident est important avant de le déclarer. Une fois qu'elles l'ont fait, elles disposent alors de quatre jours pour déposer un rapport. Or, de nombreuses entreprises, dont Live Nation, indiquent à la SEC qu'elles n'ont pas encore déterminé l'importance de l'incident. Reste à savoir (et comprendre) en quoi ces informations vont être utiles aux investisseurs.
En règle générale, une entreprise considère un événement établit en fonction de l'impact probable sur le chiffre d'affaires et/ou le résultat net. Pour les grandes entreprises - le dernier chiffre d'affaires annuel de Live Nation s'élevait à 22,7 Md$ - cela ne se produit généralement que lorsque l'entreprise s'attend à ce qu'un grand nombre de clients quittent l'entreprise à cause de l'incident ou à ce qu'elle perde une grande partie de son chiffre d'affaires en raison du départ de certains de ses plus gros clients. Dans le cas de Ticketmaster, cela ne se produirait que si les consommateurs allaient acheter des billets de spectacle ailleurs. Or aux États-Unis, il existe peu de commerçants alternatifs, ce qui suggère qu'une cyberattaque ne deviendrait importante que si elle aliénait un grand nombre de lieux de spectacles et/ou impactait la production d'artistes majeurs. Dans le cas présent, l'attaque n'a même pas visé l'entreprise, mais un de ses partenaires IT dans le cloud, ce qui rend encore plus complexe à déterminer de l'importance de l'attaque.
Commentaire