Cyberattaques contre les casinos : affaires Scattered Spider, MGM et Caesars (2023–2025)

Le secteur des jeux d’argent a toujours été une cible privilégiée pour les cybercriminels en raison de ses flux financiers considérables, de ses données personnelles précieuses et de ses infrastructures numériques complexes. Entre 2023 et 2025, des incidents de cybersécurité très médiatisés impliquant le groupe de pirates Scattered Spider ont ébranlé les fondations de sécurité de grands opérateurs de casinos tels que MGM Resorts International et Caesars Entertainment. Ces affaires mettent en évidence non seulement l’évolution des menaces cybernétiques, mais aussi la nécessité urgente de mesures de sécurité robustes et de stratégies efficaces de réponse aux incidents.

Scattered Spider et son mode opératoire

Scattered Spider, également connu sous d’autres alias dans la communauté de la cybersécurité, est un groupe de pirates sophistiqué spécialisé dans l’ingénierie sociale et les attaques de phishing. Le groupe cible généralement les employés d’entreprise en se faisant passer pour du personnel informatique de confiance, les incitant à révéler leurs identifiants ou à accorder un accès à distance. Une fois dans le réseau, les attaquants utilisent des outils avancés pour élever leurs privilèges et se déplacer latéralement, obtenant le contrôle de systèmes critiques.

Les enquêtes sur leurs méthodes ont révélé une forte tendance à exploiter les erreurs humaines. Ils contactaient les équipes d’assistance technique en se faisant passer de manière convaincante pour des membres du personnel légitimes, afin de réinitialiser les jetons d’authentification multifacteur. Cela leur permettait de contourner même les protocoles de sécurité bien établis. Leurs opérations se caractérisent par la rapidité, la coordination et la précision dans la recherche de données de grande valeur.

Au-delà des intrusions techniques, la stratégie de Scattered Spider consiste souvent à déployer des ransomwares ou à menacer de divulguer des informations sensibles à moins qu’une rançon ne soit payée. Ces tactiques exercent une pression énorme sur les victimes, tant sur le plan financier que sur la réputation, les poussant souvent à prendre des décisions rapides sous stress.

La montée en puissance du groupe dans le secteur des casinos

L’essor du groupe en tant qu’acteur clé ciblant l’industrie des casinos a coïncidé avec l’expansion numérique rapide du secteur après la pandémie. Avec l’essor des jeux en ligne, des systèmes de paiement numériques et du travail à distance, la surface d’attaque s’est considérablement élargie. Les casinos, autrefois centrés sur la sécurité physique, ont dû affronter une nouvelle ère de vulnérabilité numérique.

En 2023, Scattered Spider avait déjà été lié à plusieurs violations dans divers secteurs, mais son attention s’est nettement tournée vers les entreprises de divertissement et de jeux d’argent, où les enjeux financiers et la réputation des marques sont extrêmement élevés. Le groupe a démontré une compréhension claire des points faibles opérationnels, utilisant les interruptions des systèmes numériques comme levier pour exiger des rançons.

Les experts en sécurité estiment que le groupe dispose d’une infrastructure bien financée, possiblement reliée à d’autres collectifs de ransomwares. Cela leur permet de déployer rapidement des tactiques avancées, en faisant une menace redoutable pour toute organisation non préparée à une cyberattaque coordonnée.

MGM Resorts : la faille de 2023

En septembre 2023, MGM Resorts International a subi une cyberattaque majeure attribuée à Scattered Spider, perturbant ses opérations à Las Vegas et ailleurs. L’attaque a entraîné l’arrêt des systèmes de réservation d’hôtels, des cartes-clés numériques, de certaines machines à sous et du traitement des paiements. Des clients ont signalé de longs délais lors de l’enregistrement et des problèmes pour accéder à leurs chambres.

Selon les rapports, la faille a commencé par une campagne d’ingénierie sociale ciblée contre l’assistance informatique de MGM. Les attaquants auraient obtenu un accès administratif, leur permettant de chiffrer des systèmes critiques et de demander une rançon. MGM a choisi de ne pas payer, préférant restaurer ses opérations à partir de sauvegardes, un processus qui a duré plus d’une semaine et entraîné des pertes de revenus de plusieurs millions de dollars.

Cet incident a servi d’avertissement pour l’industrie, montrant qu’une attaque pouvait paralyser à la fois les aspects numériques et physiques des opérations d’un casino. Il a également incité les autorités de régulation à revoir la résilience en cybersécurité des grandes entreprises de l’hôtellerie et du jeu.

Enseignements tirés de l’affaire MGM

L’affaire MGM a souligné l’importance de former les employés à reconnaître les techniques d’ingénierie sociale. Même des systèmes bien protégés peuvent être compromis si la confiance humaine est exploitée. Des simulations régulières de phishing, des protocoles d’authentification stricts et une surveillance continue des journaux d’accès figurent parmi les mesures recommandées.

De plus, l’attaque a mis en évidence la valeur d’une architecture réseau segmentée. En séparant les systèmes critiques des réseaux accessibles aux clients, les organisations peuvent limiter la propagation de logiciels malveillants en cas d’intrusion. Le plan de réponse aux incidents de MGM, bien que solide sur certains points, a révélé les difficultés de coordination de la reprise d’activité dans une structure corporative complexe.

Enfin, le caractère public de la perturbation a rappelé que les dommages à la réputation peuvent être aussi coûteux que les pertes financières directes. Maintenir la confiance des clients pendant et après une violation nécessite une communication transparente et des actions visibles.

Caesars Entertainment : la violation de données de 2023

Quelques semaines avant l’attaque contre MGM, Caesars Entertainment a fait face à sa propre crise de cybersécurité. L’entreprise a révélé que des pirates avaient accédé à la base de données de son programme de fidélité, compromettant potentiellement des informations sensibles telles que les numéros de permis de conduire et de sécurité sociale des membres. Contrairement à MGM, Caesars aurait choisi de payer les attaquants pour empêcher la diffusion publique des données volées.

La violation a de nouveau été attribuée à Scattered Spider, qui aurait utilisé des techniques d’ingénierie sociale similaires pour contourner les contrôles de sécurité. Bien que l’impact opérationnel ait été moins visible que dans le cas de MGM, le risque de perte de confiance des clients était important, en particulier compte tenu de la sensibilité des données dérobées.

Cette affaire a relancé le débat dans la communauté de la cybersécurité sur l’éthique et l’efficacité du paiement de rançons. Si le paiement peut parfois éviter des dommages immédiats, il risque aussi d’encourager de nouvelles attaques en montrant une disposition à céder aux exigences.

Réactions de l’industrie et des régulateurs

Après la violation de Caesars, plusieurs régulateurs d’États américains ont entamé des discussions pour imposer des normes de cybersécurité plus strictes aux opérateurs de jeux d’argent. Cela inclut l’obligation de tests d’intrusion réguliers, le signalement obligatoire des violations dans un délai fixe, et un renforcement des processus de vérification d’identité pour les systèmes internes.

Les associations professionnelles ont également commencé à partager plus activement les renseignements sur les menaces, favorisant la coopération entre entreprises concurrentes pour se défendre contre des groupes de cybercriminalité organisés disposant de ressources mondiales. Cette coopération est désormais perçue comme essentielle pour contrer ces menaces.

Pour Caesars, l’incident a entraîné un investissement important dans la formation et les technologies de cybersécurité, avec un accent particulier sur la prévention des attaques d’ingénierie sociale grâce à une authentification à plusieurs niveaux et une surveillance en temps réel des menaces.