Vous trouvez que la sécurité informatique coûte trop cher? N’essayez pas l’ignorance, pour paraphraser la célèbre citation. Le casinotier MGM Resorts International avait déjà prévenu il y a près de deux ans que son rocambolesque piratage informatique de septembre 2023 allait lui coûter environ 100 millions de dollars.
Une partie de la facture vient récemment de s’affiner avec la conclusion d’un accord devant la justice américaine.
Des clients victimes des violations de données ayant suivi les piratages – une précédente intrusion datant de juillet 2019 a été ajoutée dans le périmètre du litige -, demandaient en effet des comptes à la firme aux 16 milliards de dollars de chiffre d’affaires en 2023.
Accord à 45 millions de dollars
Avec succès: un tribunal fédéral a finalement approuvé un accord à 45 millions de dollars. Concrètement, selon un cabinet d’avocats, les plaignants dont le numéro de sécurité sociale ou le numéro d’identification militaire ont fuité auront droit à 75 dollars.
Les numéros de passeport ou de permis de conduire sont eux valorisés à 50 dollars.
Une partie des millions iront toutefois d’abord dans la poche des avocats, avec une enveloppe pouvant aller jusqu’à 30% des fonds pour régler leurs honoraires. L’accord doit être approuvé formellement lors d’une audience, en juin prochain.
Deux piratages
Les deux piratages, de juillet 2019 et de septembre 2023, s’étaient soldés par la fuite de données de 37 millions de clients. Il s’agissait de leurs identités, leurs adresses, leurs numéros de téléphone, leurs emails, leurs dates de naissance, leurs numéros de permis de conduire, de passeport et d’identifiants militaires, et dans certains cas, de leur numéro de sécurité sociale.
Le piratage de septembre 2023 avait été relié aux cybercriminels de Scattered Spider, des spécialistes du hameçonnage et du SIM-Swapping. Des malfaiteurs immatures au profil anglophone qui avaient vraisemblablement noué une dangereuse alliance avec la franchise de rançongiciel russophone Alphv/BlackCat.
Et ainsi mis à terre MGM Resorts en septembre 2023. Près de dix-huit mois plus tard, la facture du hack est toujours aussi salée.