Deux grands casinos de Las Vegas paralysés par une cyberattaque

MONDE - Deux des plus grands casinos de Las Vegas aux États-Unis ont subi début septembre une cyberattaque de grande ampleur. Des hackers qui se font appeler “Scattered Spider” ont piraté tout le système informatique de MGM Resorts et Caesars Entertainment. La majorité des services étaient indisponibles pendant une dizaine de jours, entraînant des pertes de plusieurs millions de dollars, sans compter la rançon demandée par les pirates et payée par Caesars Entertainment. Une cyberattaque qui interroge quant à la fiabilité des monnaies numériques des banques centrales, comme l’euro numérique, et leur écosystème.

Le Caesars Palace de Las Vegas est le premier casino à subir le 7 septembre 2023 une attaque de hackers. Le groupe hôtelier a annoncé que les cybercriminels ont volé les données personnelles de ses clients, exigeant une rançon de 30 millions de dollars. Caesars Entertainment n’a payé “que” 15 millions de dollars, en “prenant toutes les précautions” pour que les données subtilisées soient supprimées par les hackers. Le groupe précise toutefois n’avoir “aucune garantie” à ce sujet.

“Aucun système n’est parfait”

Le 10 septembre, MGM Resorts subit à son tour une cyberattaque qui le paralyse. Selon les images filmées à l’intérieur de l’hôtel, la majorité des services affichaient “temporairement indisponible” sur leurs écrans : ascenseurs, distributeurs de billets, machines à sous... Le système informatique de cet hôtel de 30 étages et de plus de 6 850 chambres était hors service, provoquant la pagaille parmi les employés et les clients.

Selon plusieurs médias, les hackers ont réussi leur coup en dix minutes, en recourant à des techniques d’engineering social, une pratique liée à la sécurité informatique consistant à manipuler psychologiquement à des fins malveillantes. La cible de cette manœuvre : un employé vulnérable repéré grâce au réseau social professionnel LinkedIn.

Est avancée l’hypothèse selon laquelle les hackers ont renouvelé leur cyberattaque parce qu'ils n’ont reçu que la moitié de la rançon exigée à Caesars Entertainment. Le groupe Scattered Spider a également récupéré six téraoctets de données comprenant les noms, adresses, numéros de cartes bancaires et numéro social des clients de ces hôtels et de ces casinos.

Le MGM Resorts a refusé de payer une quelconque rançon et les pertes se sont élevées à plus de huit millions par jour de panne. Si la quasi-totalité des services des deux géants hôteliers ont repris, ces derniers font désormais l’objet de neuf poursuites fédérales au total. Le tribunal du Nevada a réceptionné des plaintes accusant MGM et Caesars de “négligence dans la protection des données personnelles”.

Les systèmes informatiques d’établissements de cette envergure sont pourtant protégés par une sécurité sophistiquée et coûteuse. “Mais aucun système n’est parfait”, explique à AP le professeur d'informatique à l'Université du Nevada, Yoohwan Kim. “Les pirates se battent toujours pour cette faiblesse de 0,0001 %”, a-t-il déclaré. "Habituellement, cette faiblesse est d'origine humaine, comme le phishing”, précise-t-il.

L’euro numérique tout aussi vulnérable ?

De son côté, Tony Anscombe, responsable de la sécurité de la société de cybersécurité ESET basée à San Diego (Californie), explique le choix des hackers de recourir à l'ingénierie sociale. "La sécurité ne vaut que par le maillon le plus faible et, malheureusement, comme dans de nombreuses cyberattaques, le comportement humain est la méthode utilisée par les cybercriminels pour accéder aux joyaux de la couronne d'une entreprise", a-t-il déclaré.

Cette importante cyberattaque contre les deux casinos de Las Vegas a également été l’occasion pour certains de faire un parallèle avec les monnaies numériques de banques centrales (MNBC) comme l’euro numérique. Le projet, porté par la Banque centrale européenne (BCE), suscite déjà des inquiétudes quant aux risques d’atteintes à la vie privée ou la liberté individuelle. La présidente de la BCE, Christine Lagarde, a reconnu fin septembre que la version numérique de la monnaie communautaire ne sera pas “totalement anonyme”.

"Le système utilisera les banques commerciales comme intermédiaires pour diffuser l'euro numérique. Les banques auront accès à des données, c'est vrai. Mais elles ont aujourd'hui déjà accès à des données. (...) C'est la banque commerciale qui analysera ces données et les partagera avec l'utilisateur", indique-t-elle.

Mais le recours à une monnaie numérique suscite aussi des craintes liées à la sécurité des données récupérées, tant chez les internautes que les entreprises. En septembre 2022, le Fonds monétaire international (FMI) soulevait cette question, affirmant qu’une “vulnérabilité dans une monnaie numérique pourrait mettre en péril le système financier de tout un pays”.

“Les MNBC permettraient d’accumuler des données sensibles sur les paiements et les usagers à une échelle sans précédent. Tombées entre de mauvaises mains, ces données pourraient servir à espionner les transactions privées des individus, à obtenir des détails confidentiels sur des particuliers et des organisations, voire à dérober de l’argent”, lit-on.

Des risques qui motivent justement la réticence de nombreux eurodéputés. Ce mois-ci, le Conseil des gouverneurs de la BCE se réunira pour discuter d’un projet pilote de deux ans. Le Parlement européen et le Conseil devront se prononcer sur cette proposition.