Le piratage confirmé d’un hôtel de luxe d’un groupe français expose passeports, profils clients et accès techniques, révélant une faille majeure dans la promesse de discrétion.
Le palace Cheval Blanc Randheli, adresse ultra-luxe des Maldives liée à LVMH, est visé par une fuite de données revendiquée par le groupe de pirates informatiques Aur0ra. ZATAZ a constaté que ces pirates ont mis en ligne dans le darkweb un moteur de recherche dédié aux données dérobées. Le dossier comprende 75 855 scans de passeports !
Une fuite qui touche le cœur du luxe
Comme je peux souvent l’expliquer, le monde du tourisme est un terrain de jeu que les pirates informatiques aiment chevaucher. Accèder à l’informatique d’un hôtel, par exemple, est aussi riche d’informations que de s’attaquer à une boutique en ligne. Les malveillants peuvent y trouver toutes les informations qui font leur business de la malveillance. Dernier cas en date repéré par ZATAZ, le « Cheval Blanc Randheli« . Ici, nous ne sommes pas dans un hôtel ordinaire. Situé dans l’atoll de Noonu, aux Maldives, l’établissement se présente comme une « Maison » de très haut standing, composée de 46 villas, dont une île privée. Son modèle repose sur le service personnalisé, la confidentialité, la rareté et la protection de clients fortunés ou exposés.
C’est précisément cette promesse qui se trouve fragilisée. Le piratage, confirmé, s’accompagne d’une fuite de données, également confirmée. ZATAZ a découvert que les pirates ont créé un moteur de recherche dédié, installé dans le darkweb (je ne fournirai pas l’adresse, même par courriel !), signe d’une volonté de rendre l’exploitation des informations plus simple, plus rapide et plus ciblée. Le nom du groupe pirate est aussi confirmé par le Service de veille et d’investiation de zataz.
Le lot revendiqué par les pirates est massif. La catégorie la plus sensible concerne 75 855 « scans » de passeports, couvrant une période allant de janvier 2015 à octobre 2024. Ces fichiers sont rangés par jour, par mois et par année. Ils correspondraient à environ 20 000 à 30 000 clients uniques. L’enfer ! C’est pour cela que je conseille, depuis des années, de garder un oeil sur le scan de vos documents réclamés par les hôtels, camping, Etc. Un watermark, un signe qui empechera leur réutilisation par des malveillants ayant mis la main sur les documents.
Chaque scan comporte la page d’identité complète : photo, nom, date de naissance, nationalité, numéro de passeport, zone de lecture automatique, aussi appelée MRZ, et signature. Ces éléments réunis créent un risque élevé d’usurpation d’identité, de fraude documentaire, de contournement de procédures KYC et de hameçonnage très personnalisé.La fuite vise aussi des profils à forte valeur de renseignement. Le dossier mentionne des membres de la famille royale du Qatar, avec neuf scans de passeports, des VIP et responsables gouvernementaux des Émirats arabes unis, ainsi que des cadres du siège de LVMH basés à Paris. Ces indications renforcent le potentiel d’exploitation diplomatique, réputationnelle ou criminelle.
L’autre bloc central vient d’Opera PMS, le logiciel utilisé par l’hôtellerie pour gérer réservations, séjours, facturation, préférences et profils clients. Les exports cités par les pirates, non analysés par ZATAZ, comprendraient 30 000 à 50 000 profils, avec noms, adresses, nationalités, classifications VIP, données partielles de cartes bancaires, dépôts, numéros de réservation, historiques de séjour, agences de voyage, vols et préférences personnelles.
Dans un hôtel de luxe, une préférence n’est jamais anodine. Elle peut révéler des habitudes, des déplacements, des entourages, des contraintes médicales, des exigences de sécurité ou des vulnérabilités. L’information hôtelière devient alors une donnée de renseignement.
Des accès techniques au risque opérationnel
Le dossier ne s’arrêterait pas aux clients. Il inclurait aussi des données concernant 1 000 à 2 000 employés, avec dix ans d’éléments salariaux, des dossiers médicaux ou d’assurance, environ 200 photos d’identification ECARD, des informations de congés, des rémunérations de cadres clés et des données d’enrôlement biométrique liées au contrôle d’accès Gladis. des employés français sont concernés.
Cette dimension RH accroît le risque interne. Des salariés peuvent devenir des cibles de chantage, de phishing ou d’approche frauduleuse. Les données biométriques posent un problème plus durable encore : contrairement à un mot de passe, une empreinte ou un modèle facial ne se remplace pas simplement.
La partie technique est tout aussi préoccupante. Le lot comprendrait une clé de récupération BitLocker, un fichier « Passwords » contenant des mots de passe en clair, des accès extranet pour des portails de réservation ou des fournisseurs, ainsi qu’une sauvegarde 3CX VoIP intégrant identifiants SIP, configurations d’extensions et règles de routage d’appels.
Ces éléments changent la nature de l’incident. Une fuite de passeports expose des personnes. Une fuite d’identifiants expose un système. Une sauvegarde téléphonique, une clé de déchiffrement ou des mots de passe non protégés peuvent faciliter des rebonds, des intrusions partenaires ou des attaques ultérieures. Le risque n’est donc pas seulement documentaire. Il devient opérationnel.
L’affaire s’inscrit dans une séquence plus large. Sept autres entreprises auraient été piratées dans le monde par ce même groupe. A noter qu’un autre hôtel de luxe, Le AMAN Resort, a aussi vu des données diffusées fin avril par d’autres pirates informatiques. Bref, les pirates ont un intérêt marqué pour l’hôtellerie haut de gamme, secteur riche en identités, itinéraires, informations financières et données de personnalités sensibles.
Pour les attaquants, un palace n’est pas seulement une marque prestigieuse. C’est une base de données vivante sur des clients, des employés, des fournisseurs, des habitudes de voyage et des réseaux d’influence.
merci à ZATAZ
