Après l’acquisition d’une entreprise concurrente, une chaîne hôtelière découvre une atteinte à sa base de données de clients

Conclusions en vertu de la LPRPDE n^o 2022-005

Le 15 juillet 2022

---

Plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

Rapport de conclusions

Résumé

1. Le 30 novembre 2018, Marriott International, Inc. (« Marriott ») a annoncé publiquement avoir été victime d’une atteinte à la sécurité des données dans laquelle il y a eu un accès non autorisé à une base de données de Starwood Hotels (« Starwood »). Starwood était une entreprise distincte de services hôteliers que Marriott avait acquise en septembre 2016. Cet accès s’est étalé sur quatre années, de 2014 à 2018. Marriott a également signalé l’atteinte à la vie privée au Commissariat le 30 novembre 2018. Après une analyse visant à supprimer les dossiers en double, Marriott a indiqué qu’un attaquant (l’« attaquant » ou l’« acteur malveillant ») avait obtenu accès aux renseignements personnels contenus dans jusqu’à environ 339 millions de dossiers, dont jusqu’à 12,8 millions de dossiers où les renseignements sur le pays de résidence étaient inscrits comme étant le Canada.
2. Compte tenu de la présence de dossiers de Canadiens et du fait que 11 plaintes ont été reçues par le Commissariat à la protection de la vie privée du Canada (le « CPVP »), le commissaire à la protection de la vie privée du Canada a entrepris une enquête sur Luxury Hotels International of Canada, ULC (« Luxury Hotels Canada »), la filiale indirecte en propriété exclusive de Marriott International, Inc. (« Marriott »). Luxury Hotels Canada est la société exploitante principale de Marriott pour les hôtels canadiens. Comme Marriott ne peut exclure la possibilité que l’atteinte concernait des dossiers de clients qui avaient été créés depuis 2002, l’enquête du CPVP a porté sur les éléments suivants de Marriott :
   1. les mesures de protection de la sécurité de l’information, y compris sa diligence raisonnable dans l’évaluation des mesures de protection des actifs qu’elle avait acquis;
   2. des mesures de responsabilité en ce qui concerne la mise en œuvre de politiques et de pratiques afin de protéger adéquatement les renseignements personnels dont l’entreprise est responsable;
   3. les pratiques de conservation de l’information.
3. Nous avons conclu que certaines allégations des plaintes sont fondées en raison des mesures de protection et de responsabilité inadéquates de Marriott au moment de l’atteinte; elles sont également conditionnellement réglées puisque Marriott a accepté les recommandations du CPVP. Notre enquête a révélé que, même si l’attaquant a introduit des logiciels malveillants dans le système de Starwood avant l’acquisition de ce système par Marriott, celle-ci n’a pas relevé de lacunes dans ses mesures de test et ses contrôles de sécurité de l’information ni détecté la menace en temps opportun. Par conséquent, l’attaquant a accédé aux renseignements personnels sous le contrôle de Marriott. Notre enquête a notamment révélé que Marriott aurait pu détecter l’atteinte plus tôt et minimiser les activités de l’attaquant si elle avait : (i) mis en place des mesures plus complètes de journalisation et de surveillance, (ii) appliqué adéquatement ses contrôles d’accès à l’authentification multifactorielle, et (iii) mis en place des mesures de responsabilisation adéquates pour assurer l’évaluation et la révision continues de ses mesures de sécurité. Enfin, nous avons constaté que Marriott aurait pu réduire l’ampleur ou l’impact de l’atteinte si elle avait mis en place des mesures suffisantes pour les systèmes de Starwood afin d’assurer le chiffrement des renseignements de nature délicate et la suppression rapide des renseignements personnels.
4. En plus de la mise hors service la base de données de Starwood visée par l’atteinte en décembre 2018, nous reconnaissons que Marriott a mis en place un certain nombre d’autres mesures correctives pour améliorer ses mesures de sécurité de l’information et ses politiques organisationnelles et de gouvernance. Nous jugeons important que ces améliorations aient également été intégrées aux systèmes actuels de Marriott. Pour améliorer ses mesures de sécurité, Marriott a notamment accepté de faire appel à un évaluateur externe accrédité et chevronné pour évaluer les améliorations apportées afin d’éviter que pareille atteinte à la vie privée ne se produise. Marriott a également accepté de continuer d’examiner ses mesures organisationnelles et mesures de gouvernance pour assurer l’évaluation continue de son cadre de protection des renseignements personnels, de son programme de sécurité de l’information, de ses contrôles de sécurité de l’information, de ses capacités d’intervention en cas d’incident et de son processus de diligence raisonnable pour les biens acquis. Nous croyons que ces actions fourniront des assurances supplémentaires que Marriott a pris des mesures pour assurer la protection des renseignements personnels de ses clients conformément à la Loi.

Contexte et portée

5. Marriott a reçu une alerte de sécurité interne le 8 septembre 2018 et a constaté par la suite qu’un tiers non autorisé avait copié et chiffré des renseignements provenant d’une base de données de réservation de clients sur le réseau de Starwood. Starwood était une entreprise de services hôteliers distincte que Marriott avait acquise en septembre 2016.
6. Cette atteinte concernait le profil et les coordonnées des clients de Starwood^{Note de bas de page 1}, ainsi que les renseignements sur leur compte et leurs réservations^{Note de bas de page 2}. Pour un sous-ensemble de personnes, les détails de leur passeport (numéro de passeport, code du pays du passeport ou pays du passeport du client) et/ou les détails de leur carte de paiement chiffrée ont également été touchés. Il convient de souligner que certains numéros de passeport dans la base de données étaient chiffrés, mais pas tous. Bien que Marriott ait analysé les données touchées pour repérer les enregistrements en double, jusqu’à présent, Marriott n’a pas été en mesure de retirer complètement tous les doublons. Ainsi, le nombre de dossiers touchés déclarés par Marriott peut toujours inclure plusieurs dossiers liés au même client. À partir de son analyse, Marriott indique qu’environ 86 000 dossiers contenant les données d’un passeport canadien ont été touchés et qu’environ 483 000 des dossiers incluent des cartes de paiement chiffrés associés à des Canadiens^{Note de bas de page 3}. L’attaquant a obtenu l’accès à ces renseignements personnels à partir de quatre tableaux de la base de données de Starwood regroupant jusqu’à environ 339 millions de dossiers dans le monde (comprenant plusieurs dossiers concernant le même client). Cela comprenait 12,8 millions de dossiers (dont, comme mentionné plus tôt, plusieurs concernant le même client) pour lesquels le pays de résidence inscrit était le Canada. Les dossiers les plus anciens ont été créés en 2002.
7. Après avoir reçu un avis concernant une alerte de sécurité de la part d’un fournisseur de services gérés (déclenchée le 7 septembre 2018), Marriott a commencé à enquêter sur l’atteinte et à la contenir. Ainsi, elle a bloqué et supprimé tous les logiciels malveillants qu’elle avait détectés et associés à l’incident (p. ex., l’interpréteur de commandes installé par l’attaquant, les chevaux de Troie d’accès à distance et un logiciel de collecte d’identifiants). Marriott a également appliqué des contrôles d’accès supplémentaires et réinitialisé les justificatifs d’identité (en améliorant l’authentification multifactorielle et en mettant en œuvre une liste blanche des adresses IP dans la base de données), elle a rebâti certains serveurs pour accroître les fonctions de sécurité et elle a reconstruit les dispositifs réseau auxquels l’acteur malveillant a accédé.
8. Dans sa réponse à l’atteinte, Marriott a également retenu les services d’un cabinet d’avocats et d’un cabinet judiciaire indépendants, elle a déployé des outils de surveillance et d’analyse judiciaire renforcés sur les appareils du réseau de Starwood, elle a installé d’autres outils de journalisation et de surveillance (y compris du matériel de surveillance) dans les centres de données de Starwood pour signaler tout comportement suspect et elle a commencé à aviser les personnes touchées. Marriott a également mis à jour son plan de sécurité en fonction des leçons tirées de cet incident.
9. Entre le 7 décembre 2018 et le 4 août 2019, nous avons reçu 11 plaintes concernant l’atteinte. Les plaignants ont déclaré avoir reçu un avis de Starwood Hotels les informant que leurs renseignements personnels avaient été touchés par l’atteinte.
10. Les plaignants ont allégué que les pratiques de traitement de l’information de Marriott n’ont pas protégé les renseignements personnels.

Questions examinées dans le présent rapport

11. Compte tenu du contexte susmentionné, le présent rapport aborde les questions suivantes et les principes correspondants de la LPRPDE figurant à l’annexe 1 de la Loi :
    1. Question n^o 1 : Mesures de protection – Compte tenu de la compromission des mesures de sécurité dans cette atteinte, les renseignements personnels détenus par Marriott étaient-ils protégés par des mesures de sécurité correspondant à leur nature délicate, comme l’exige le principe 4.7 (Mesures de protection)?
    2. Question n^o 2 : Responsabilité – L’atteinte comprenait un accès non autorisé avant l’acquisition de Starwood par Marriott en 2016. Lorsqu’elle a acquis le contrôle et la responsabilité du réseau de Starwood, Marriott a-t-elle fait preuve de diligence raisonnable et pris des mesures pour s’acquitter de ses responsabilités qui visent à mettre en œuvre des politiques et des pratiques de protection des renseignements personnels en vertu du principe 4.1.4 (Responsabilité)?
    3. Question n^o 3 : Conservation des renseignements – En raison de l’âge de certains des renseignements personnels visés par l’atteinte, Marriott a-t-elle conservé les renseignements personnels plus longtemps que nécessaire? Cette question relève du principe 4.5 (Limitation de l’utilisation, de la communication et de la conservation).
    4. Question n^o 4 : Avis aux personnes touchées et mesures d’atténuation – Compte tenu du fait que la compromission des renseignements présente un risque continu de préjudice pour les personnes touchées, les mesures d’atténuation offertes par Marriott aux personnes visées étaient-elles adéquates pour protéger leurs renseignements personnels contre toute utilisation non autorisée, comme le vol d’identité futur, conformément au principe 4.7 (Mesures de protection)?

Méthodologie

12. Pour en arriver aux conclusions énoncées dans le présent rapport, nous avons tenu compte des renseignements suivants :
    1. les déclarations faites par Marriott, y compris la production d’un rapport d’analyse judiciaire confidentiel et des documents à l’appui comme les politiques et procédures pertinentes de Marriott et de Starwood;
    2. les renseignements que nous avons recueillis et analysés à partir de sources accessibles au public concernant l’atteinte, y compris l’information publiée par l’Information Commissioner’s Office U.K. (l’« ICO du R.-U. ») concernant les mesures prises contre Marriott relativement à l’atteinte^{Note de bas de page 4}.

Question 1 : Mesures de protection

13. Le principe 4.7 prévoit que les organisations doivent protéger les renseignements personnels au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol et contre l’accès, la communication, la copie, l’utilisation ou la modification non autorisés (4.7.1).
14. Cette section du rapport examine les mesures de sécurité qui étaient en place au moment de l’atteinte ainsi que les lacunes en matière de sécurité mises en évidence par l’atteinte.

Le réseau de Starwood

15. Le réseau de Starwood a été segmenté en fonction de la géographie, de l’objectif opérationnel et de la classification des données.
16. En ce qui concerne les renseignements obtenus dans le cadre de cette atteinte, la base de données des réservations des clients de Starwood (la « base de données ») a reçu des données sur les cartes de paiement. La base de données était située dans un segment de réseau appelé l’environnement des données des titulaires de cartes (« EDTC ») de Starwood.

Description de l’atteinte selon Marriott

17. L’enquête menée par Marriott a révélé que l’acteur malveillant a obtenu accès à un serveur Web dans le réseau Starwood le 29 juillet 2014 et qu’il a installé un interpréteur de commandes sur ce serveur Web. Par la suite, il a téléversé des fichiers sur le serveur Web de Starwood au moyen de ce code. Ces fichiers étaient des outils qui permettaient à l’attaquant de recueillir des identifiants légitimes pour le système Starwood et d’accéder à distance au réseau de Starwood. Outre le code de l’interpréteur de commandes, les outils téléchargés et utilisés par l’attaquant étaient les suivants :
    1. trois chevaux de Troie différents donnant accès à distance (RAT), soit des codes ou logiciels malveillants qui lui ont permis d’accéder à distance au réseau de Starwood;
    2. un logiciel d’obtention d’identifiants appelé Mimikatz;
    3. un outil à code source libre de réseau privé virtuel (« RPV »), qui a permis à l’attaquant d’accéder à distance au réseau de Starwood en juillet 2018 avec son propre ordinateur.
18. Le logiciel de récupération des identifiants a permis à l’attaquant d’accéder aux noms et aux mots de passe d’utilisateurs légitimes du réseau de Starwood, y compris les détenteurs de certains comptes d’administrateur. Comme l’attaquant a obtenu les droits d’accès associés à certains comptes d’administrateur, il a pu copier certains renseignements provenant de la base de données Starwood sur un fichier de sortie, et compresser et chiffrer certaines parties du fichier de sortie. Plus particulièrement, il a accédé aux renseignements personnels contenus dans quatre tableaux de la base de données et les a chiffrés.
19. Marriott a déclaré que, même si elle n’était pas en mesure de déterminer avec certitude si l’attaquant avait réussi à exfiltrer des données ou quelles données avaient été exfiltrées, son enquête a révélé que l’attaquant avait pris des mesures pour préparer le transfert des données du réseau Starwood.
20. De plus, l’enquête de Marriott a révélé l’utilisation d’un logiciel malveillant installé sur plusieurs serveurs Starwood. Ce logiciel visait à recueillir des données sur les cartes de paiement. Toutefois, Marriott a déterminé que ce logiciel n’a pas permis de recueillir avec succès les données des cartes de paiement. Elle a également indiqué qu’elle ne croit pas que ce logiciel était lié à l’atteinte examinée dans ce rapport.
21. Malgré un premier accès de l’attaquant au réseau en juillet 2014, Marriott n’a été alertée de ses activités que le 8 septembre 2018, lorsqu’elle a reçu un avis de la part de son fournisseur de services gérés qu’une alerte Guardium avait été déclenchée le 7 septembre 2018. Marriott a appris que l’alerte a été déclenchée par un utilisateur interrogeant certains « renseignements sur le nombre d’enregistrements » concernant un tableau de la base de données de Starwood, le tableau « Guest_Master_Profile », qui contenait des renseignements personnels^{Note de bas de page 5} et était désigné comme étant de nature délicate parce qu’il contenait des données de cartes de paiement chiffrées.

Analyse des mesures de protection

22. L’attaquant a accédé à divers types de renseignements personnels lors de l’atteinte à la sécurité : noms, numéros de téléphone, adresse postale, adresse de courriel, date de naissance, sexe, renseignements sur le compte Starwood Preferred Guest, renseignements sur les réservations et préférences de communication. Marriott a expliqué que l’acteur malveillant a eu accès à divers types de renseignements personnels, et que ce ne sont pas tous les dossiers touchés qui contenaient tous les éléments de données de renseignements personnels énumérés ci-dessus. De plus, dans un sous-ensemble limité de cas, l’atteinte concernait des numéros de passeport (dont certains étaient chiffrés) et des numéros de carte de paiement chiffrés ainsi que la date d’échéance y étant associée. Le programme Starwood Preferred Guest a cessé d’exister en août 2018 lorsque Marriott Rewards, Ritz-Carlton Rewards et Starwood Preferred Guest ont été rassemblés sous un seul nouveau programme de fidélité nommé Marriott Bonvoy.
23. Bien que certains des renseignements visés par l’atteinte puissent être considérés comme de nature moins délicate individuellement (p. ex., numéros de téléphone et adresse de la personne, renseignements sur le compte Starwood Preferred Guest, date de naissance), ils présentent un niveau de sensibilité plus élevé dès qu’ils sont combinés. La sensibilité de ces renseignements est particulièrement accrue lorsque ceux-ci sont reliés à un identifiant gouvernemental, comme un numéro de passeport ou des renseignements de nature financière (comme des numéros de cartes de paiement chiffrés et des dates d’échéances, dans certains cas).
24. Les personnes touchées par cette atteinte sont à risque parce que, dans ce cas, un acteur non autorisé a obtenu un accès à une combinaison de renseignements personnels qui lui donne une possibilité réelle de causer un préjudice (p. ex. hameçonnage, activités frauduleuses, vol d’identité). Par exemple, comme les renseignements compromis comprenaient des détails sur les comptes de clients, les réservations, et, dans certains cas, des numéros de passeport ou des numéros de cartes de paiement chiffrés et les dates d’échéances connexes, un acteur malveillant possédant ces données serait davantage capable d’exécuter des attaques d’hameçonnage ou de se faire passer pour une personne. Bien que, selon nous, ce risque demeure une préoccupation, nous observons que Marriott a signalé au CPVP ne pas avoir reçu de réclamation fondée de perte financière subie à la suite de cet incident. Marriott a également signalé ne pas avoir été mis au courant de tout autre préjudice causé par cet incident, ou de cas d’hameçonnage ou d’utilisation abusive de renseignements personnels survenu à la suite de cette attaque. Le CPVP est d’avis que la méconnaissance de l’existence de telles situations ne prouve pas que de tels incidents ne sont pas survenus.
25. Conformément à la LPRPDE, les mesures de sécurité pour protéger ces renseignements personnels devraient être proportionnelles au niveau de sensibilité des renseignements personnels. Les mesures de protection se rapportant à cette attaque ont été examinées ci-après.

Contrôles d’accès

26. En ce qui concerne le premier accès de l’attaquant au réseau Starwood, le 29 juillet 2014, Marriott a indiqué qu’elle n’a pas été en mesure de déterminer comment l’attaquant avait pu obtenir cet accès et installer le code de l’interpréteur de commandes sur un serveur Web de Starwood. Quelle que soit la méthode utilisée, le code a permis à l’attaquant d’installer des outils malveillants à partir desquels il a recueilli des identifiants légitimes pour le système de Starwood et a accédé à distance au réseau de Starwood.
27. Marriott a indiqué que la base de données et l’EDTC possédaient différents niveaux de protection, notamment des listes de contrôle d’accès, des contrôles des noms d’utilisateur et des mots de passe, des logiciels antivirus, une authentification multifactorielle et des outils de surveillance, pris en charge par un centre de contrôle centralisé de sécurité ayant servi de carrefour pour le déploiement de nouvelles alertes et d’autres mesures de sécurité. Les éléments principaux des mesures précitées ont été validés par l’évaluation régulière de l’EDTC en fonction de la norme de sécurité des données de l’industrie des cartes de paiement (Payment Card Industry Data Security Standards^{Note de bas de page 6} [« PCI DSS »]). De plus amples détails concernant les activités d’évaluation que devraient mener les organisations seront examinés plus tard dans le présent rapport, à partir du paragraphe 60. Lorsque les renseignements personnels protégés présentent un niveau de sensibilité plus élevé, comme pour un certain sous-ensemble limité de données liées à cet incident, le CPVP s’attend à ce que les organisations mettent en place davantage de facteurs ou de couches d’authentification^{Note de bas de page 7}. Toutefois, ces contrôles d’accès doivent également être mis en œuvre de manière complète pour en assurer l’efficacité. Dans le cas qui nous intéresse, il est possible que l’attaquant ait pu passer outre ces contrôles d’accès en raison :
    1. des outils malveillants qu’il a installés;
    2. de la mise en œuvre incomplète de l’authentification multifactorielle et des outils de surveillance.
28. Les listes de contrôle d’accès utilisées dans le réseau Starwood signifiaient que chaque segment de réseau (p. ex., le segment de l’environnement organisationnel de Starwood par rapport au segment EDTC de Starwood) avait des structures de répertoire actif distinctes comportant divers niveaux de justificatifs. Par exemple, les employés de la réception des établissements Starwood et Marriott avaient un accès en lecture seule à la base de données pour aider les clients à effectuer des tâches comme l’enregistrement ou pour fournir des renseignements sur les réservations des clients. Un autre exemple est celui des justificatifs d’identité des comptes d’administrateur de base de données, qui permettent la lecture et l’écriture dans la base de données.
29. Rappelons que l’attaquant a installé un programme de collecte d’identifiants, Mimikatz. Cela lui a permis de balayer le serveur Starwood à la recherche de noms d’utilisateur et de mots de passe stockés dans la mémoire du système. Par la suite, l’attaquant a été en mesure d’obtenir des noms d’utilisateur et des mots de passe pour les comptes d’utilisateur et les comptes d’administrateur de base de données de Starwood. Fait à noter, depuis que le CPVP a fait parvenir son rapport préliminaire d’enquête à Marriott, cette dernière a précisé que les noms d’utilisateur et les mots de passe n’étaient stockés que temporairement dans la mémoire du système.
30. Marriott a indiqué qu’avant de découvrir l’attaque, elle avait conclu que l’authentification multifactorielle avait été mise en œuvre correctement pour toute personne nécessitant un accès à l’EDTC de Starwood et, par la suite, à la base de données. Marriott a expliqué que sa conclusion reposait sur les éléments suivants :
    1. Marriott a reçu des rapports sur la conformité de deux évaluateurs de la sécurité indépendants en 2015, 2016 et 2017 concernant la conformité de Starwood à la norme PCI DSS. Les rapports de conformité indiquaient que Starwood avait mis en œuvre les mesures nécessaires pour exploiter son EDTC conformément à la norme PCI DSS, y compris la mise en œuvre d’une authentification multifactorielle pour toute personne nécessitant un accès à l’EDTC de Starwood. Marriott a indiqué qu’elle avait le droit de se fier aux rapports sur la conformité pour conclure que l’authentification multifactorielle avait été mise en place correctement pour permettre l’accès à l’EDTC.
    2. Au moment de l’acquisition de Starwood par Marriott en 2016, Marriott a reçu l’assurance des employés de Starwood que l’authentification multifactorielle avait été mise en œuvre pour les administrateurs.
31. Toutefois, alors qu’elle enquêtait sur l’atteinte survenue en septembre 2018, Marriott a découvert que l’authentification multifactorielle n’avait pas été entièrement déployée avant l’acquisition de Starwood. L’enquête de Marriott a révélé que certains comptes et systèmes administratifs ayant accès à l’EDTC ne faisaient pas l’objet d’une authentification multifactorielle. L’enquête de Marriott a aussi révélé que l’attaquant avait accédé à la base de données dans l’EDTC en tirant parti de ces comptes administratifs, c’est-à-dire des comptes de certains groupes d’administrateurs dont l’authentification multifactorielle n’avait pas été activée. Cette situation est préoccupante, car les comptes d’administrateurs devraient faire l’objet de contrôles d’accès rigoureux, du fait qu’ils sont souvent ciblés par des pirates en raison de leur accès élargi à l’information et aux autorisations système^{Note de bas de page 8}.

Logiciel antivirus

32. L’une des mesures de protection clés pour se défendre contre les logiciels malveillants et les virus consiste à installer un logiciel antivirus et à s’assurer qu’il est à jour en effectuant des mises à jour régulières^{Note de bas de page 9}.
33. Marriott a fait valoir que son fabricant de produits antivirus n’avait pas les signatures uniques associées aux RAT utilisés par l’attaquant au moment de l’atteinte. Par conséquent, le logiciel antivirus n’a pas été en mesure de détecter ou de retirer plus tôt les RAT. Marriott a allégué que la nouvelle génération de logiciels antivirus n’était pas utilisée de façon courante au moment de l’incident, et que même la version actuelle de la norme PCI DSS (version 3.2.1) n’exige pas la mise en place de logiciels antivirus de ce genre. Marriott a également fait valoir qu’avant l’incident, des analyses antivirus étaient effectuées toutes les deux semaines dans l’ensemble du réseau de Starwood. Le CPVP fait remarquer que, même si le logiciel antivirus le plus récent n’est pas couramment utilisé ou « obligatoire », la tenue à jour d’une solution antivirus assure son efficacité et augmente les chances que les organisations détectent et maîtrisent plus tôt les atteintes concernant des maliciels et des virus. Les organisations font face à des cybermenaces dont l’envergure varie en fonction de plusieurs facteurs, notamment la valeur des renseignements personnels détenus. En conséquence, elles doivent choisir le logiciel et les mesures de protection qui correspondent aux menaces auxquelles elles font face.
34. Pour prévenir les atteintes causées par de nouveaux maliciels qui ne sont pas encore couverts par un logiciel antivirus, les organisations devraient mettre en œuvre des niveaux de sécurité supplémentaires qui protègent également contre les virus et les maliciels. Un niveau supplémentaire consiste à mettre en œuvre une liste binaire et une liste blanche d’applications qui mettent en quarantaine des cas suspects ou non autorisés de binaires (qui sont également nommés code exécutable), les rendant ainsi non exécutables jusqu’à ce qu’ils soient autorisés. Un autre exemple pourrait être l’intégration d’une technologie de bac à sable qui filtre le courrier électronique, le trafic de navigation sur le Web et les installations logicielles tout en protégeant un système d’exploitation contre les infections par code malveillant. Fait à noter, bien qu’il soit peu probable que la mise en œuvre d’une liste binaire et d’une liste blanche d’adresses IP aurait empêché cette attaque particulière, l’examen par le CPVP d’un rapport judiciaire de l’atteinte a permis de déterminer qu’une liste blanche d’applications au niveau du code de hachage^{Note de bas de page 10} du fichier aurait permis de détecter cette attaque beaucoup plus tôt, voire de la désactiver complètement. Toutefois, depuis sa découverte de l’atteinte, Marriott a pris des mesures correctives proportionnelles aux niveaux de sécurité susmentionnées^{Note de bas de page 11}.

Journalisation et surveillance des mesures de protection

Les mesures de protection appliquées par Marriott n’ont pas permis de détecter les activités de l’attaquant en temps opportun

35. Un système de gestion des incidents et des événements de sécurité (« GIES ») est l’une des principales mesures de protection contre les menaces externes. Ce type de système peut servir d’outil technologique de surveillance active en répondant aux menaces potentielles ou aux activités douteuses en analysant en temps réel les registres agrégés de plusieurs sources (bases de données, serveurs, etc.). En cas d’atteinte, un système de GIES robuste devrait également permettre à une organisation de déterminer la cause directe. Puisque la nature des attaques évolue constamment, les règles de configuration et de gestion pour les systèmes de GIES devront également être amenées à évoluer au fil du temps. Même si Starwood possédait son propre système de GIES en place au moment de l’incident et que Marriott disposait d’un système de GIES depuis 2007, elle n’en a achevé l’application au réseau de Starwood que le 31 mars 2018. Marriott a affirmé qu’en raison de la taille et de l’échelle de Starwood, l’entreprise avait besoin d’un plus long délai. Marriott a indiqué qu’elle avait adopté une approche appropriée, prudente et dont les risques étaient bien équilibrés pour la sécurité des systèmes de Starwood jusqu’à ce que la migration aux systèmes de Marriott soit terminée. Le CPVP comprend que, selon la taille et la complexité d’un réseau, il pourrait falloir plusieurs mois pour mettre en œuvre un système de GIES. Toutefois, même aux premières étapes de son adoption, un système GIES doit au moins être en mesure d’enregistrer et de recevoir des données sur des menaces potentielles.
36. Au moment de l’atteinte, Marriott avait également mis en place un centre des opérations de protection (« COP ») pour surveiller les registres du réseau Starwood afin de détecter les menaces. Ces registres de réseau provenaient de divers systèmes de Starwood. Avant l’acquisition du réseau Starwood par Marriott, le COP était géré par un fournisseur de services tiers. Marriott a indiqué qu’elle croyait que la surveillance et la journalisation en place pour l’EDTC étaient appropriées selon les évaluations indépendantes de sécurité. Toutefois, pendant l’intégration des systèmes de Starwood par Marriott, celle-ci a constaté que certains registres de réseau avaient cessé d’être acheminés à son fournisseur de services tiers et, pour remédier à cette situation, elle a remplacé ce fournisseur en mars 2018.
37. Le système de GIES et le COP de Marriott n’ont émis aucune alerte liée à l’atteinte avant septembre 2018. En particulier, ces systèmes n’ont pas alerté Marriott de l’installation de maliciels par l’attaquant en 2014, ni des mesures prises par l’attaquant pour supprimer des données de la base de données Starwood en 2015. Selon l’information disponible, il en est ainsi parce que : i) le système de GIES de Marriott n’a été appliqué au réseau Starwood que le 31 mars 2018; et ii) les registres qui auraient permis d’identifier ces activités antérieures n’ont pas été envoyés au COP.
38. L’outil de sécurité de la base de données IBM Guardium (« Guardium ») était utilisé dans la base de données depuis au moins 2008. Marriott a indiqué qu’il lui était raisonnable de se fier à Guardium, car, au moment de l’incident, Guardium était un outil allant au-delà des normes de l’industrie pour les organisations n’œuvrant pas dans le domaine des services financiers. Guardium a deux fonctions de sécurité :
    1. consigner les activités de la base de données, comme les efforts pour créer, lire, mettre à jour ou supprimer des données dans une base de données;
    2. générer des alertes lorsque certaines conditions définies sont réunies ou lorsque des activités spécifiques se déroulent dans une base de données.
39. Même si Guardium était utilisé dans la base de données de Starwood avant les activités initiales de l’attaquant en 2014, ces activités n’ont déclenché une alerte de Guardium que le 7 septembre 2018, ce qui a provoqué l’enquête sur l’atteinte de Marriott. L’alerte Guardium n’a été déclenchée que par un utilisateur interrogeant un tableau spécifique de la base de données de Starwood (le tableau « Guest_Master_Profile ») qui avait été classé comme sensible, car il contenait des données chiffrées de cartes de paiement. Marriott a également expliqué que l’alerte Guardium de septembre 2018 a été déclenchée par :
    1. la requête précise exécutée par l’attaquant (c.-à-d. la commande de « comptage » des rangées dans le tableau de la base de données);
    2. l’inclusion du nom du tableau « Guest_Master_Profile » dans sa requête;
    3. l’alerte configurée spécifiquement pour le tableau « Guest_Master_Profile » parce qu’il contenait des numéros de cartes de paiement chiffrés.
40. Ce retard dans l’identification des activités de l’attaquant démontre que les systèmes de surveillance n’étaient pas suffisamment efficaces pour détecter rapidement les activités de l’attaquant; ils n’ont pas non plus été suffisamment efficaces pour détecter ou empêcher les activités connexes de l’attaquant le 10 septembre 2018, après l’alerte à l’atteinte du 8 septembre 2018. Marriott a affirmé qu’il lui était raisonnable de croire que les alertes Guardium à l’égard de l’EDTC de Starwood étaient configurées correctement. En effet, la configuration de Guardium avait été évaluée dans le cadre de l’examen PCI DSS de Starwood par deux évaluateurs de sécurité indépendants différents à trois reprises : deux fois par un évaluateur en 2015 et en 2016, et une fois par un autre évaluateur en 2017.

Les registres de Marriott ne surveillaient ni ne vérifiaient les comptes privilégiés ou les comptes administrateurs

41. Des registres et une surveillance adéquats sont essentiels à la capacité d’une organisation de détecter rapidement les activités non autorisées, d’enquêter sur les incidents et d’améliorer les mesures de protection en tirant des leçons des lacunes relevées dans ses registres. Étant donné que les activités de l’attaquant ont débuté sur le réseau de Starwood en juillet 2014, il est préoccupant que les mesures de protection susmentionnées n’aient alerté Starwood (et plus tard, Marriott) de l’atteinte qu’en septembre 2018. Marriott n’a pas non plus été en mesure de déterminer de façon définitive les activités de l’attaquant d’après ses registres disponibles. En particulier, nous constatons que les registres de Marriott n’ont pas fourni suffisamment de preuves pour :
    1. déterminer l’état du serveur Web qui a permis l’installation du code de l’interpréteur de commandes;
    2. déterminer exactement les commandes exécutées par l’attaquant sur la base de données pendant les quatre années de l’incident.
    Marriott a affirmé qu’une intensification de la surveillance et de la journalisation n’aurait pas nécessairement permis de détecter l’attaque puisque l’attaquant ne travaillait pas à partir d’une adresse IP suspecte. Toutefois, le CPVP fait remarquer que la journalisation consiste à examiner des facteurs des technologies de l’information (TI) autres que l’adresse IP, comme le trafic sur le réseau et le flux réseau.
42. En plus des registres de surveillance pour détecter les activités non autorisées, il est important que les organisations mettent en place des mesures proactives pour surveiller et/ou vérifier les comptes d’utilisateur, y compris les comptes privilégiés ou les comptes d’administrateur. Cela est d’autant plus important pour détecter les atteintes qui ont déjà eu lieu ou qui ont commencé. Dans l’atteinte qui nous intéresse, lorsque l’attaquant a exploité des comptes d’administrateur de bases de données pour avoir accès à des renseignements personnels sans autorisation, la journalisation et la surveillance de ces comptes privilégiés auraient accru la capacité de Marriott de détecter plus rapidement l’atteinte. Cet important niveau de sécurité aurait également offert une protection supplémentaire, en complément des autres lacunes en matière de protection (p. ex., les contrôles d’accès).

Marriott n’archivait pas ses registres de pare-feu depuis au moins 12 mois

43. L’enquête de Marriott a également révélé qu’elle n’avait pas archivé tous les registres d’événements des pare-feu pendant au moins 12 mois, ce qui est exigé par la norme PCI DSS. Cela garantit également qu’un registre est enregistré pour tout événement de pare-feu lié aux activités de maliciels. Le CPVP reconnaît que Marriott avait indiqué que le réseau était évalué annuellement par un évaluateur de sécurité tiers qualifié pour les besoins de la norme PCI DSS et qu’il y a notamment eu une évaluation à l’été 2016 et à l’été 2017. À ce moment, l’évaluateur avait publié un rapport de conformité dont le résultat était une cote générale « conforme », indiquant que Starwood avait démontré qu’elle se conformait pleinement au cadre de la norme PCI DSS.

Restrictions et surveillance de l’accès à distance

44. Enfin, les comptes d’administrateur de Starwood ont légitimement accédé aux applications, aux systèmes et aux données de l’EDTC au moyen des applications Citrix pour l’accès à distance. Toutefois, l’attaquant a aussi misé sur ces applications Citrix aux fins de l’atteinte. Au cours de l’enquête de Marriott, un cabinet judiciaire tiers a recommandé à Marriott d’envisager de restreindre davantage l’accès à distance en tirant parti des règles du système de détection et de prévention des atteintes qui surveillent les activités d’accès à distance de sources inhabituelles. En ce qui concerne la journalisation dans l’EDTC, le cabinet judiciaire a également recommandé à Marriott d’ajuster la configuration de la journalisation pour s’assurer que l’accès aux ressources à distance est enregistré et surveillé.

Stockage de l’information

Chiffrement

45. Le chiffrement représente un autre niveau de sécurité qui peut aider à protéger les renseignements personnels si ceux-ci font l’objet d’un accès non autorisé. Fait important, le CPVP s’attend à ce que les renseignements personnels de nature délicate soient protégés par des mesures de protection supplémentaires, y compris le chiffrement. Comme il a été mentionné précédemment, cette atteinte concernait des numéros de passeport et des numéros de cartes de paiement chiffrés de Canadiens. Ces détails sont considérés comme étant très délicats, et encore plus s’ils sont combinés à d’autres renseignements personnels, comme les types de renseignements en cause dans cet incident.
46. En ce qui concerne les numéros de cartes de paiement, Marriott confirme qu’elle utilise la norme de chiffrement avancé AES-128. Ce chiffrement est appliqué lorsque les numéros de carte de paiement ont été saisis dans le champ de carte de paiement désigné, ce qu’exige la politique de Marriott. Toutefois, l’enquête de Marriott a également révélé qu’un nombre limité de numéros de cartes de paiement avait été saisi dans des champs de données non conçus pour stocker les détails des cartes de paiement et, par conséquent, ces numéros de cartes de paiement n’ont pas été chiffrés. Cela signifie que l’attaquant pourrait avoir eu accès à un certain nombre (environ 260) de numéros de cartes de paiement non chiffrés. Marriott a informé le CPVP de sa position, selon laquelle ces données non chiffrées de cartes de paiement ne se trouvaient pas dans un emplacement qui serait facilement connu d’un attaquant ou auquel il aurait accédé, et que rien ne prouvait que l’attaquant avait réellement accédé à ces données.
47. En ce qui concerne les numéros de passeport, la base de données renfermait des champs distincts qui contenaient les numéros de passeport sous forme chiffrée et non chiffrée (c.-à-d. en texte clair). Le CPVP a demandé à Marriott d’expliquer pourquoi ces renseignements n’étaient pas systématiquement chiffrés. Dans sa réponse, Marriott a indiqué qu’elle n’avait pas été en mesure de déterminer la raison d’être de cet aspect de la conception de l’ancien système Starwood en raison du départ du personnel de Starwood.
48. L’incapacité d’appliquer systématiquement le chiffrement ou des contrôles compensatoires parallèles à tous les champs de renseignements personnels de nature délicate, là où il est possible de le faire, représente une faiblesse dans ses mesures de protection.

Pratiques opportunes de suppression des renseignements et périodes de conservation des renseignements

49. Le CPVP s’attend à ce que les organisations suppriment ou dépersonnalisent les renseignements personnels en temps opportun (lorsque ceux-ci ont comblé les besoins justifiant leur collecte et ne sont plus requis) à titre de mesure de protection conforme aux exigences de la LPRPDE (en particulier le principe 4.5). En cas d’atteinte aux mesures de sécurité, la suppression ou la dépersonnalisation en temps opportun des renseignements personnels peut réduire l’ampleur ou l’incidence de cette atteinte^{Note de bas de page 12}.
50. Comme il a été indiqué précédemment, cette atteinte a touché un grand nombre de personnes, car elle concerne environ 339 millions de dossiers à l’échelle mondiale. De plus, Marriott ne pouvait pas exclure la possibilité que les plus anciens dossiers touchés par cette atteinte ont été créés en 2002. Cette situation a mis en évidence le fait que les renseignements personnels visés par l’atteinte pouvaient comprendre des dossiers qui remontaient à 16 ans au moment où Marriott a détecté l’atteinte.
51. En réponse aux questions concernant sa politique de conservation des renseignements, Marriott a indiqué que la période de conservation de Starwood des renseignements canadiens dans la base de données était de dix ans à compter de la date de création du document. Le CPVP n’a pas évalué le bien-fondé de cette déclaration pour chaque catégorie distincte de documents conservés par Marriott. Les raisons de Marriott pour expliquer la durée de cette période de conservation sont examinées plus loin dans le présent rapport.
52. Combinée à d’autres mesures actives de sécurité, la conformité aux politiques d’élimination est importante pour réduire l’ampleur ou l’incidence d’une atteinte aux mesures de sécurité. Dans ce cas, la conservation par Marriott de dossiers plus anciens de clients a contribué au volume de renseignements personnels touchés par cette atteinte.

Conclusions

53. Pour les raisons susmentionnées, nous sommes d’avis que les mesures de sécurité appliquées par Marriott ne permettaient pas de protéger adéquatement les renseignements personnels, particulièrement en ce qui concerne les éléments suivants :
    1. Contrôles d’accès
    2. Logiciels antivirus
    3. Journalisation et surveillance
    4. Stockage des renseignements
54. Nous constatons que les lacunes susmentionnées représentent des échecs au niveau de la mise en œuvre de mesures de sécurité qui s’imposent, compte tenu du volume et de la sensibilité des renseignements personnels détenus par Marriott. Par conséquent, Marriott contrevient au principe 4.7 de la Loi.

Question 2 : Responsabilité

55. L’atteinte portait sur l’accès non autorisé avant l’acquisition de Starwood par Marriott en 2016. Après l’acquisition de Starwood en 2016, Marriott a hérité du contrôle et de la responsabilité du réseau de Starwood. Nous avons examiné de façon pertinente le principe 4.1.4, qui exige que les organisations mettent en œuvre des politiques et des pratiques pour appliquer les principes de la LPRPDE. Plus particulièrement, l’exigence de mettre en œuvre des procédures pour protéger les renseignements personnels [principe 4.1.4a)].
56. Au moment d’acquérir de nouveaux systèmes et de nouvelles bases de données qui traitent des renseignements personnels, les organisations acquéreuses devraient prendre des mesures pour déterminer si leurs acquisitions comportent des exigences en matière de sécurité. Cette opération doit être effectuée, autant que possible, avant que l’organisation ne reçoive le contrôle du système d’information ou de la base de données et certainement avant l’utilisation et l’intégration des données aux systèmes existants. Ces mesures doivent comprendre diverses formes de tests, comme un test de réseau et un audit par rapport aux normes reconnues de l’industrie, une évaluation de la sécurité ou une analyse du risque de menace. L’exécution de ces tests est importante, car s’ils sont effectués correctement, ils peuvent permettre de repérer rapidement les éléments compromis et de préciser les mesures qu’une organisation doit prendre (p. ex., l’amélioration des systèmes, les mises à jour, la mise en œuvre de nouvelles mesures de protection ou de nouveaux processus, ou l’élimination des maliciels) pour résoudre les problèmes de compromission ou s’assurer que les systèmes nouvellement acquis sont adéquatement protégés.
57. En ce qui concerne la diligence raisonnable qu’elle a exercée dans le cadre de l’acquisition de Starwood, Marriott a indiqué qu’elle a procédé à la recherche des faits et à l’analyse du réseau de Starwood. Ces mesures comprenaient une série de réunions avec les employés de Starwood IT, portant sur le recours aux fournisseurs de Starwood IT et les évaluations par des tiers indépendants des systèmes de Starwood dans le cadre de tests fondés sur la norme PCI DSS. Marriott a indiqué qu’il y avait plusieurs indicateurs fiables témoignant d’une conformité appropriée de la sécurité des TI concernant Starwood au moment de l’acquisition de Marriott, dont les mesures à divers niveaux de sécurité des TI de Starwood, les confirmations par les anciens employés de Starwood des mesures de sécurité mises en œuvre dans les systèmes de Starwood, la confirmation faite par un évaluateur indépendant tiers de la conformité de Starwood à la norme PCI DSS en avril 2016, les déclarations publiques faites par Starwood concernant l’incident de 2014-2015 lié aux cartes de paiement, et l’emploi par Starwood de parties tierces très fiables, dont Accenture, pour fournir des produits et des services pour son environnement de sécurité. Au départ, ces efforts visaient à déterminer quels systèmes de TI (c.-à-d. ceux de Marriott ou de Starwood) seraient utilisés après l’acquisition de Starwood par Marriott. À la suite de sa recherche de faits et de son analyse, et après la décision de migrer l’environnement de Starwood vers les systèmes de Marriott sur une période d’environ deux ans (soit en 2018), un plan d’intégration a été mis en œuvre pour :
    1. éliminer progressivement les systèmes de Starwood;
    2. conserver les systèmes de Starwood existants tout en les harmonisant avec les normes et les protocoles de Marriott;
    3. retenir les services d’experts-conseils externes pour émettre un rapport sur les questions de sécurité des TI liées au réseau de Starwood.
58. À la suite de ses examens, Marriott a commencé à prendre un certain nombre de mesures pour améliorer les systèmes de Starwood avant de détecter l’atteinte. Ces mesures ont été appliquées à divers domaines et comprenaient notamment ce qui suit :
    1. Gouvernance et gestion de la sécurité – Marriott a apporté des changements organisationnels pour améliorer sa responsabilisation et sa gouvernance des données en effectuant des changements sur le plan du personnel et en officialisant le Conseil de gouvernance du respect de la vie privée et de la sécurité de l’information et son Comité de surveillance du respect de la vie privée et de la sécurité de l’information. Elle a également mis en œuvre un outil de suivi des actifs pour évaluer les risques de sécurité et faciliter l’intervention en cas d’incident en analysant le réseau et en évaluant la conformité des logiciels antivirus et des correctifs dans le réseau Starwood.
    2. Segmentation du réseau Starwood selon la région, l’objectif opérationnel et la classification des données. Cela comprenait la séparation ou la segmentation de l’EDTC, qui renfermait les données relatives aux cartes de paiement.
    3. Renseignements sur les menaces et gestion des vulnérabilités – Des analyses mensuelles des vulnérabilités des serveurs d’entreprise du réseau Starwood ont été effectuées de 2014 à août 2017. Marriott l’a élargi à partir d’août 2017 pour inclure des analyses mensuelles de serveurs supplémentaires sur le réseau de Starwood.
    4. Gestion de l’identité et de l’accès – Marriott a appliqué l’authentification multifactorielle aux employés de Starwood qui se branchent à certains systèmes de ressources humaines et de paie. Marriott a également supprimé les comptes d’administrateur du domaine Starwood périmés et elle a limité l’accès des tiers fournisseurs de services aux seules personnes qui avaient besoin d’un accès au domaine pour soutenir l’environnement de Starwood.
    5. Gestion des incidents et des crises – Marriott a révisé son plan d’intervention collectif en cas d’incident, qui couvrait les systèmes de Starwood. De plus, Marriott a ajouté des alertes du système sur le réseau Starwood (p. ex., identification des appels du système à de mauvaises adresses IP connues). Marriott a également effectué un cyberexercice technique de simulation d’un incident survenu dans l’environnement de Starwood avec ses fournisseurs de services tiers qui surveillent les alertes du système.
59. Compte tenu de ce qui précède, il est évident que Marriott a appliqué un certain nombre de mesures pour améliorer la sécurité du réseau Starwood avant son intégration. Toutefois, même après avoir pris ces mesures, certaines lacunes sont demeurées dans les mesures de protection de Starwood (comme nous l’avons examiné à la question 1 : Mesures de protection) qui soulignent l’importance d’évaluer continuellement son infrastructure de protection contre les menaces actuelles et émergentes.

Évaluation et révision continues d’un cadre de protection de la vie privée, y compris les mesures de sécurité

60. Afin de protéger adéquatement la vie privée et de respecter leurs obligations légales, les organisations doivent surveiller, évaluer et réviser périodiquement leur cadre de protection de la vie privée pour s’assurer qu’il demeure pertinent et efficace. Cette pratique concerne également les mesures de protection de la sécurité, y compris les tests et activités de surveillance^{Note de bas de page 13}. Une évaluation périodique des mesures de protection de la sécurité est essentielle. Il ne suffit pas qu’une organisation possède les bons outils : les outils doivent être mis en œuvre correctement, il faut tenir compte des mises en garde à leur égard, et ils doivent constamment être évalués et faire l’objet d’examens et de mises à jour (p. ex., pour les corrections et l’entretien) réguliers.
61. Comme il a été mentionné précédemment dans le présent rapport, l’audit du réseau par rapport aux normes reconnues de l’industrie constitue une mesure à laquelle peut recourir une organisation afin de démontrer sa diligence raisonnable. En ce qui concerne l’atteinte en cause, Marriott s’est fiée aux rapports sur la conformité (« RC ») de deux évaluateurs de la sécurité indépendants différents en 2015, 2016 et 2017 concernant la conformité de Starwood à la norme PCI DSS. De plus, Marriott a confirmé que des tests de pénétration et de vulnérabilité ont été effectués régulièrement sur le réseau de Starwood entre 2014 et 2018 (c.-à-d. avant et après l’acquisition des systèmes de Starwood par Marriott).
62. Ces types de tests sont des niveaux de sécurité importants, car ils permettent de repérer les lacunes dans le périmètre du réseau d’une organisation qui pourraient être exploitées par un attaquant à l’avenir. Toutefois, ces mesures d’essai ne permettent pas de détecter les activités non autorisées menées par un attaquant qui a déjà pénétré le système ou le réseau. Par conséquent, les mesures de consignation et de surveillance doivent être évaluées sur une base continue pour s’assurer qu’elles demeurent à jour et qu’elles peuvent permettre de cerner efficacement toute une gamme d’activités non autorisées ou douteuses, y compris les cas où un attaquant a déjà pénétré le système ou le réseau.
63. Bien que la norme PCI DSS soit reconnue par l’industrie, il convient de noter que la conformité à cette norme se concentre sur les données des titulaires de carte, même si, dans ce cas, les RC ont couvert l’ensemble de l’EDTC, comprenant les données des cartes de paiement et les autres données. Cela ne devrait pas dissuader les organisations à se conformer à la norme PCI DSS, en particulier si elles ont certaines exigences les poussant à le faire. Toutefois, nous nous attendons à ce que les organisations réfléchissent également à la façon dont elles évaluent leur conformité au traitement des renseignements personnels qui ne sont pas des données des titulaires de carte. Pour certaines organisations, en particulier celles qui détiennent des fonds de renseignements personnels de nature délicate et volumineux, il peut convenir d’effectuer une évaluation supplémentaire avec une autre norme reconnue par l’industrie (p. ex., ISO ou NIST). Ce genre d’évaluation exhaustive permet de s’assurer que les organisations sont en mesure de cerner et de combler les lacunes en matière de sécurité dans tous leurs fonds de renseignements personnels. À cet égard, Marriott a également indiqué avoir investi dans des améliorations précises à la sécurité (notamment au système de GIES et au COP) des systèmes de Starwood qui devaient être mis hors service.
64. Dans le cas qui nous intéresse, une telle évaluation aurait pu être appliquée pour voir si les alertes Guardium ont été correctement configurées pour enregistrer et détecter les activités douteuses concernant les données des titulaires de cartes et les données de personnes non titulaires de cartes. Marriott a affirmé que, vu le degré de complexité démontrée par l’attaquant inconnu et la méthode inconnue que l’attaquant a utilisée pour obtenir un accès au réseau Starwood, rien ne garantit qu’une configuration différente des alertes (abordée dans le présent paragraphe) aurait changé la situation.
65. Enfin, comme mentionné précédemment dans ce rapport, Marriott a découvert que l’authentification multifactorielle n’avait pas été entièrement déployée sur tous les comptes (y compris certains comptes d’administrateur) seulement lorsqu’elle a détecté l’atteinte en septembre 2018. Il s’agit d’un exemple où l’examen ou l’évaluation en continu des mesures de protection et de surveillance de Marriott auraient probablement pu lui permettre de déceler cette lacune plus tôt, et ainsi, de la combler. Ainsi, Marriott aurait pu entraver d’autres activités de l’attaquant sur le réseau de Starwood et réduire l’ampleur et l’impact de l’atteinte.

Conclusions

66. Lorsque Marriott a fait l’acquisition de Starwood en 2016, elle est devenue responsable de la mise en œuvre des politiques et des pratiques visant à appliquer les principes de la LPRPDE, y compris la protection des renseignements personnels. Bien que son évaluation suivant l’acquisition ait consisté à examiner les systèmes de Starwood et à apporter certaines améliorations, en raison de lacunes au chapitre de l’exécution des évaluations continues des mesures de sécurité, nous constatons que Marriott a contrevenu au principe 4.1.4.

Question 3 : Conservation de l’information

67. Le principe 4.5 indique que les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées.
68. Comme il a été mentionné précédemment dans le présent rapport, Marriott a indiqué que la période de conservation des renseignements canadiens dans la base de données était de dix ans à compter de la date de création du dossier. Marriott a également expliqué que la base de données était un système de Starwood et que ses données étaient assujetties à la politique de conservation des données de Starwood. Les périodes de conservation décrites dans la politique de conservation de Starwood variaient selon différents facteurs, notamment la province ou le territoire, la catégorie de dossiers classés selon les exigences opérationnelles pertinentes et les exigences juridiques de Starwood.
69. Marriott fait valoir que la période de conservation de dix ans susmentionnée est fondée sur les exigences de l’Alberta Corporate Tax Act (articles 61 à 63) et de l’Alberta Limitations Act (article 11). Ces exigences légales concernent les « registres et livres comptables » et les « jugements pour le paiement d’argent ».
70. Différentes organisations ont des objectifs opérationnels et législatifs différents pour recueillir, utiliser et conserver des renseignements personnels. Le CPVP comprend qu’il n’y a pas de période de conservation « universelle ». Toutefois, il s’attend à ce que les organisations tiennent compte des facteurs suivants lorsqu’elles évaluent une période de conservation suffisante^{Note de bas de page 14} :
    1. Le but premier de la collecte des renseignements personnels.
    2. Si des renseignements personnels ont été utilisés pour prendre une décision au sujet d’une personne, ils doivent être conservés pendant la période exigée par la loi ou pendant une période raisonnable pour permettre à la personne d’accéder à ces renseignements afin de comprendre et de contester le fondement de la décision.
    3. Si la conservation plus longue des renseignements personnels causait un préjudice à la personne concernée ou augmentait le risque et l’exposition à de probables atteintes aux données, l’organisation devrait envisager de les éliminer de façon sécuritaire.
71. Même si la réponse de Marriott mentionnait des exigences juridiques qui indiquent une période minimale de conservation, nous croyons savoir que cela ne s’applique qu’à certains renseignements personnels qui pourraient exclure des détails précis sur les réservations de clients (p. ex., numéros de passeport, détails sur les clients qui ne sont pas associés à l’Alberta). De plus, comme l’a confirmé Marriott, certains renseignements visés par l’atteinte étaient conservés depuis 2002 (soit pendant plus de dix ans) et pourraient avoir un lien avec les personnes dont le Canada était indiqué dans les renseignements sur le pays de résidence.

Conclusions

72. À la lumière des renseignements ci-dessus, nous constatons que Marriott a conservé certains renseignements personnels sur des Canadiens pendant une période plus longue que nécessaire à la réalisation des fins juridiques citées. Par conséquent, nous sommes d’avis que cela constitue une infraction en vertu du principe 4.5.

Question 4 : Avis aux personnes touchées et mesures d’atténuation

Avis aux personnes touchées

73. Dans la mesure où Marriott avait une adresse courriel valide pour les Canadiens touchés par l’atteinte à la vie privée, elle en a informé ces personnes directement par courriel. Elle a confirmé qu’elle a commencé à envoyer des avis directs par courriel le 30 novembre 2018 et qu’elle a terminé le 15 décembre 2018. Marriott a avisé indirectement les autres personnes touchées par les mesures suivantes :
    1. Le 30 novembre 2018, Marriott a publié un communiqué et lancé un site Web spécialisé contenant des renseignements sur l’atteinte et des suggestions sur la façon dont les personnes potentiellement touchées pouvaient se protéger.
    2. Marriott a ajouté un lien vers son site Web consacré aux incidents sur les pages d’accueil de Marriott et de Starwood, et sur les applications mobiles de Marriott et Starwood.
    3. Le 4 janvier 2019, Marriott a publié un communiqué mis à jour contenant des renseignements supplémentaires pour les personnes potentiellement touchées.
74. L’atteinte a également fait l’objet d’une vaste couverture médiatique dans les médias grand public au Canada et à l’échelle mondiale. Étant donné que Marriott a pris des mesures pour aviser directement et indirectement les personnes touchées, nous sommes d’avis que l’avis indirect de Marriott suffisait pour rejoindre les personnes touchées.

Mesures d’atténuation

75. En plus de décrire les détails de l’atteinte à la vie privée, les notifications susmentionnées de Marriott ont offert aux Canadiens touchés un an de surveillance gratuite du Web par l’entremise de WebWatcher, qui surveille les sites Internet où des renseignements personnels sont échangés (p. ex., le Web caché, les forums de pirates) et génère une alerte pour les personnes concernées si des preuves de leurs renseignements personnels sont trouvées. De plus, Marriott a mis sur pied un centre d’appels à numéro sans frais pour les personnes touchées et a mis en œuvre un processus pour permettre aux clients touchés de vérifier si leur numéro de passeport avait été compromis dans l’atteinte. Même si Marriott a indiqué qu’aucune personne touchée n’avait prouvé que son passeport avait été utilisé de manière frauduleuse, Marriott a confirmé qu’elle avait également un processus de réclamation permettant aux personnes qui pouvaient démontrer que leur numéro de passeport a été copié et utilisé frauduleusement d’obtenir le remboursement des frais de remplacement de leur passeport. En outre, Marriott a ajouté du personnel et des ressources et a peaufiné son portail de demande d’accès à l’information en ligne pour les particuliers afin de soutenir les communications qu’elle recevait des personnes touchées par l’atteinte.
76. Enfin, Marriott a avisé ses réseaux de cartes de crédit et de cartes de paiement (p. ex. VISA, Mastercard, American Express) de l’incident le 29 novembre 2018 et leur a fourni les numéros de carte touchés qui étaient pertinents pour leur réseau le 6 décembre 2018.
77. À la suite d’une atteinte aux mesures de sécurité, il est important que les organisations prennent les mesures d’atténuation appropriées pour prévenir l’utilisation non autorisée future des renseignements personnels compromis^{Note de bas de page 15}.
78. Comme nous l’avons déjà mentionné dans le présent rapport, Marriott a indiqué qu’il n’y a eu aucune réclamation fondée de perte financière ni de preuve d’hameçonnage ou d’autre utilisation abusive de renseignements personnels potentiellement obtenus dans le cadre de cet incident. Bien que tous les éléments de données n’aient pas été présents pour un dossier en particulier, la combinaison des renseignements personnels compromis dans cette atteinte à la sécurité crée^{Note de bas de page 16} un risque réel de préjudice par le vol d’identité ou l’hameçonnage qui pourrait mener à des activités frauduleuses pour les dossiers dans lesquels plusieurs éléments de données figuraient. Selon l’expérience du CPVP, ces préjudices peuvent être atténués par des services de surveillance du crédit qui peuvent alerter les personnes touchées de demandes de crédit frauduleuses et les inciter à communiquer avec les institutions financières compétentes et à prévenir le vol d’identité. Bien que la surveillance du crédit puisse être offerte conjointement avec d’autres services de surveillance, elle demeure une mesure d’atténuation importante, car elle peut alerter les personnes de fraude même si leurs renseignements personnels ont été supprimés d’un forum en ligne.
79. Même si nous convenons que Marriott a pris des mesures positives (comme il est indiqué au paragraphe 75 ci-dessus) qui l’aideront à prévenir une utilisation malveillante des renseignements en cause dans l’atteinte, la surveillance sans frais du Web par WebWatcher n’était offerte que pendant un an. Comme mentionné ci-dessus, Marriott a indiqué qu’il n’y a eu aucune réclamation fondée de perte financière ni de preuve d’hameçonnage ou d’utilisation malveillante découlant de cet incident, qui a été divulgué publiquement le 30 novembre 2018. Le CPVP s’attend normalement à ce qu’une organisation offre des protections (comme la surveillance du Web ou la surveillance du crédit), pendant une période prolongée. Ces mesures visent à prévenir les préjudices (comme un vol d’identité ou de la fraude) qui pourraient survenir, dans le cas où un acteur malveillant qui aurait accès aux renseignements compromis attendrait (après la période de surveillance, par exemple) pour utiliser ces renseignements de façon malveillante. Toutefois, dans le contexte décrit ci-dessus, une période de surveillance Web d’un an semble minimalement suffisante, étant donné que Marriott a pris des mesures additionnelles, notamment la mise en œuvre d’un processus de réclamation pour les frais de remplacement de passeports et le signalement des numéros de cartes de crédit et des cartes de paiement touchés aux réseaux de cartes de crédit et de cartes de paiement.

La correction de l’atteinte par Marriott

80. Après qu’elle eut découvert l’atteinte, Marriott a bloqué et retiré tous les logiciels malveillants et outils associés qui ont été installés par l’attaquant. Cela comprenait le code de l’interpréteur de commandes, les RAT, le logiciel d’obtention de justificatifs d’identité (Mimikatz) et le RPV.
81. Marriott a confirmé que la base de données n’est plus utilisée pour mener les opérations commerciales et que les réservations sont maintenant exploitées par le système Marriott. Cette mesure est entrée en vigueur le 11 décembre 2018, lorsque Marriott a terminé la migration de toutes les données vers ses systèmes et a mis hors service la base de données.
82. En outre, depuis qu’elle a détecté l’atteinte, en septembre 2018, Marriott a indiqué qu’ elle avait entrepris une série d’activités de confinement et de correction pour améliorer ses mesures de sécurité. Ces activités s’étendaient à divers domaines, comprenant ceux énumérés ci-dessous, mais non de façon exhaustive. Plus particulièrement, les changements apportés par Marriott correspondent aux faiblesses des mesures de protection liées à l’atteinte.
    1. Changements apportés au réseau
    2. Contrôles d’accès
    3. Mesures de journalisation et de surveillance
    4. Stockage de l’information – y compris le chiffrement et la minimisation des données
    5. Test et évaluation des vulnérabilités
    6. Mesures organisationnelles et de gouvernance

Conclusion et recommandations

83. Sur la base des questions que nous avons examinées et présentées dans ce rapport, nous jugeons que certaines allégations dans les plaintes sont fondées et conditionnellement réglées en ce qui concerne :
    1. les mesures de sécurité de Marriott : contrôles d’accès, logiciel antivirus, journalisation et surveillance, stockage de l’information (principe 4.7 de la Loi);
    2. l’exécution par Marriott des évaluations actuelles des mesures de sécurité (principe 4.1.4 de la Loi);
    3. la conservation par Marriott de renseignements personnels sur les Canadiens pendant une période plus longue que nécessaire à la réalisation des fins juridiques citées (principe 4.5 de la Loi).
84. En ce qui concerne la question des avis aux personnes touchées, notre enquête nous a permis de déterminer que les mesures directes et indirectes d’avis de Marriott étaient adéquates et d’observer les mesures d’atténuation positives offertes aux clients touchés.
85. Cette atteinte souligne l’importance des mesures de responsabilité et de protection de la sécurité que les organisations devraient appliquer, particulièrement en ce qui concerne les systèmes d’information et les bases de données qu’elles acquièrent ou dont elles prennent le contrôle. En particulier, il est essentiel que les organisations effectuent diverses formes de test lorsqu’elles acquièrent de nouveaux systèmes pour s’assurer qu’elles peuvent déterminer et (au besoin) améliorer les mesures de sécurité. Les circonstances de cette atteinte illustrent également l’importance d’assurer la mise en œuvre complète et exhaustive des contrôles d’accès et des activités de journalisation et de surveillance, dans la mesure du possible.
86. La confirmation par Marriott que la base de données Starwood a été mise hors service en décembre 2018 et que les réservations sont maintenant exploitées par les systèmes de Marriott donne une certaine assurance que les lacunes associées à la base de données Starwood ont été corrigées. Nous reconnaissons également que Marriott a cherché à mettre en application les leçons qu’elle a tirées de cette atteinte en mettant en œuvre un éventail d’améliorations, tel que décrit précédemment dans le présent rapport. Toutefois, nous entretenons encore des préoccupations concernant :
    1. Les mesures prises par Starwood pour restreindre et surveiller l’accès à distance (voir le paragraphe 44)
    2. Le stockage, par Starwood, de certaines données de cartes de paiement et de passeports dans un format non chiffré, ainsi que des renseignements personnels qui avaient été recueillis en 2002 (voir les paragraphes 45 à 52)
    3. La période pendant laquelle Starwood a conservé les renseignements personnels concernant les Canadiens, du moins dans ses systèmes (voir les paragraphes 68 à 71)
    4. L’évaluation et la révision continues des mesures de sécurité de Marriott (voir les paragraphes 60 à 65)
87. Compte tenu des procédures et des processus correctifs mis en place après l’atteinte, nous sommes d’avis que s’ils sont mis en œuvre correctement et fidèlement, ils répondent aux préoccupations susmentionnées en matière de protection de la sécurité (voir le paragraphe 86). Nous estimons également qu’il est important que Marriott veille à ce que ces procédures et processus correctifs soient pris en compte dans tous ses systèmes actuels de traitement des renseignements personnels, même pour les systèmes qui n’étaient pas en cause dans l’incident. Compte tenu de la nature primordiale d’une mise en œuvre et d’une conformité adéquates et uniformes, nous avons recommandé les éléments ci-dessous pour faciliter la conformité et la responsabilisation.
    1. La rétention par Marriott des services d’un évaluateur indépendant externe chevronné et accrédité pour évaluer les améliorations qu’elle a apportées afin d’éviter qu’une atteinte à la vie privée semblable ne se reproduise dans ses systèmes. À la fin de cet examen, il est aussi recommandé que Marriott soumette un rapport de cette évaluation au CPVP dans les neuf (9) mois suivants la date de notre rapport final de conclusions. Ce rapport doit comprendre les conclusions de l’évaluateur concernant :
       1. les contrôles d’accès, y compris la mise en œuvre par Marriott, pour les systèmes contenant des renseignements personnels, de l’authentification multifactorielle obligatoire améliorée et d’une liste blanche des adresses IP correspondant à la nature délicate de ces renseignements;
       2. les logiciels antivirus et les outils de détection des menaces aux points terminaux, y compris l’efficacité des outils de détection des menaces aux points terminaux de Marriott en ce qui concerne la détection et la résolution des vulnérabilités en temps réel;
       3. les mesures de journalisation et de surveillance – pour s’assurer que ces activités sont complètes et opportunes afin que Marriott puisse accroître sa capacité à détecter sans retard les activités douteuses et les atteintes dans le réseau, que Marriott puisse surveiller plus efficacement les comptes privilégiés ou les comptes d’administrateur, que les registres d’événements des pare-feu soient archivés pendant au moins 12 mois ou comme l’exige la norme PCI DSS et que l’accès à distance soit adéquatement surveillé et restreint;
       4. le stockage de l’information – y compris l’exécution par Marriott d’analyses régulières de tout renseignement personnel stocké par inadvertance (p. ex., les renseignements de nature délicate, les données désuètes, les renseignements stockés conformément aux politiques de Marriott) et, s’il y a lieu, l’application de mesures de protection supplémentaires ou la suppression de ces données. À cet égard, le processus de conservation et de destruction des données de Marriott devrait intégrer des mesures de protection de la vie privée (décrites au paragraphe 70 du présent rapport) et des périodes minimales (au besoin) et maximales de conservation de l’information.
    2. En ce qui concerne le rapport d’évaluation susmentionné au paragraphe 87(a), il est recommandé à Marriott d’expliquer en détail sa décision d’accepter ou de rejeter les recommandations de l’évaluateur, y compris un calendrier de mise en œuvre des recommandations si elles sont acceptées.
    3. Il est recommandé à Marriott d’examiner ses mesures organisationnelles et de gouvernance pour assurer l’évaluation continue et l’examen périodique de son cadre de protection des renseignements personnels, de son programme de sécurité de l’information, de ses contrôles de sécurité de l’information, de ses capacités d’intervention en cas d’incident et de son processus de diligence raisonnable pour les biens acquis.
    4. À la fin de l’examen mentionné précédemment au paragraphe 87(c), il est recommandé à Marriott de présenter un rapport de cet examen au CPVP dans les neuf (9) mois suivant la date de notre rapport final de conclusions. Ce rapport doit décrire en détail les conclusions de Marriott et inclure une explication et un calendrier indiquant comment et quand Marriott prévoit y donner suite.
88. Finalement, nous soulignons l’utilisation par l’attaquant d’un outil de collecte d’identifiants dans le cadre de cette atteinte. Même si la collecte d’identifiants et le bourrage d’identifiants sont des vecteurs de menaces distincts, nous encourageons Marriott à consulter les toutes nouvelles Lignes directrices sur le bourrage d’identifiants (en anglais seulement) produites par le Groupe de travail sur la coopération internationale en matière d’application de la loi de l’Assemblée mondiale pour la protection de la vie privée afin qu’elle solidifie sa position en matière de mesures de sécurité. Ces lignes directrices soulignent la menace que pose le bourrage d’identifiants aux données personnelles et les mesures reconnues que les organisations peuvent prendre pour atténuer les risques que représente la compromission de données personnelles par ce vecteur d’attaque.