L’OYO Hotel & Casino Las Vegas — anciennement Hooters Hotel & Casino — a été victime d’une cyberattaque d’envergure en janvier 2025, selon des documents judiciaires révélés par Crain’s New York Business le 14 octobre 2025. Cette attaque aurait entraîné la compromission des données personnelles de plus de 4,700 clients et employés de l’établissement.
Une faille révélée par un conflit judiciaire
L’incident est apparu dans le cadre d’un litige opposant Highgate Hotels — un important gestionnaire hôtelier américain — à OYO Hotels, propriétaire de plusieurs établissements à Las Vegas, New York et dans de nombreuses autres villes. Highgate a déposé plainte pour contester sa résiliation brutale du contrat de gestion de l’hôtel OYO Times Square, intervenue le 1er août 2025. La société estime que cette rupture violait la Section 860-a de la loi du travail de l’État de New York, qui impose un préavis de 90 jours pour certains licenciements collectifs.
En réponse, OYO a justifié cette rupture en évoquant les « graves lacunes » des pratiques informatiques de Highgate, en se référant à la cyberattaque subie à Las Vegas, passée inaperçue dans les médias jusqu’à la publication des documents juridiques. Selon Vital Vegas, OYO a également mis fin à la gestion de Highgate sur sa propriété de Las Vegas, tandis que Paragon continue d’y exploiter la partie casino.
Problème : le renvoi de Highgate par OYO est survenu six semaines avant la découverte officielle de la faille. D’après les registres du procureur général de l’État du Maine, l’incident n’a été déclaré que le 18 septembre 2025. Crain’s New York Business a qualifié cette chronologie d’« inexpliquée », laissant penser qu’OYO aurait gardé le silence pendant près de huit mois sur la fuite de données.
Le groupe LockBit 3.0 pointé du doigt
Selon les recherches de Casino.org, le site spécialisé BreachSense.com, dédié à la surveillance du dark web, a signalé dès le 14 janvier 2025 la fuite liée à OYO Las Vegas. Le rapport désignait le groupe LockBit 3.0, l’un des collectifs de ransomware les plus actifs au monde, comme étant à l’origine de l’attaque. Les pirates auraient publié les données volées sur leur portail du dark web.
Quelques mois plus tard, le 15 août 2025, un autre site de cybersurveillance, Brinztech.com, a apporté de nouveaux éléments. L’attaque aurait abouti au vol et à la diffusion de près de 30 gigaoctets de données sensibles, comprenant notamment :
- les informations personnelles et financières de clients de l’hôtel et du casino ;
- des données internes de gestion et des rapports financiers ;
- des dossiers RH contenant des informations confidentielles sur les employés ;
- ainsi que des documents techniques liés aux systèmes et procédures de jeux du casino.
En résumé
L’affaire OYO Las Vegas illustre la vulnérabilité croissante des établissements de jeux face aux cyberattaques. Si la société pointe la responsabilité de son ancien gestionnaire, la chronologie laisse planer un doute sur la transparence de la communication entourant l’incident.
Avec LockBit 3.0 une fois encore mis en cause, cette attaque rappelle que les casinos sont devenus des cibles privilégiées pour les groupes de pirates cherchant à exploiter à la fois les données financières et la valeur opérationnelle de leurs systèmes informatiques.
0 COMMENTAIRE