500 millions de clients de Marriott touchés par un vol de données
Un vol de données initié en 2014 touche 500 millions de clients de Marriott. Le groupe hôtelier n’a remarqué l’intrusion dans ses systèmes que début septembre. Les numéros de carte de paiement et de passeport sont concernés.
Un demi-milliard de clients sont concernés par le piratage d’une base de données du groupe Marriott. Le géant de l’hôtellerie a en effet annoncé que des hackers ont eu accès depuis 2014 aux données des réservations de Starwood, groupe d’hôtels acquis par Marriott en 2016. Mais ce n’est que le 8 septembre dernier que Marriott a reçu une alerte d'un outil de sécurité interne concernant une tentative d'accès à la base de données Starwood. La brèche concerne toutes les personnes qui ont fait, jusqu’au 10 septembre 2018, une réservation dans l’une des chaînes suivantes: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton et Design Hotels.
L’enquête de Marriott a permis de déterminer que pour environ 327 millions des clients touchés, les informations compromises incluent le nom, l’adresse postale, le numéro de téléphone, l’adresse électronique, le numéro de passeport, les données Starwood Preferred Guest, la date de naissance, le sexe, les informations d'arrivée et de départ, la date de réservation et les préférences de communication. Certains numéros de cartes de paiement ont été subtilisés sous forme chiffrées, ajoute Marriott. Néanmoins, selon l’éditeur de solutions de sécurité Sophos, les responsables du vol de données pourraient tout à fait avoir volé les informations nécessaires pour décrypter ces données de paiement.
Quelles mesures pour les clients potentiellement affectés?
Sophos conseille aux clients potentiellement affectés de contacter le numéro d’urgence mis en place et de consulter régulièrement les mises à jour de la page dédiées à la fuite de données. Il est en outre recommandé de prendre garde aux e-mails potentiellement frauduleux et de toute tentative de phishing: «Méfiez-vous des escroqueries. Les criminels peuvent chercher à exploiter des victimes anxieuses en utilisant de faux sites web ou des courriels, des messages et des appels téléphoniques hameçons», explique Sophos.
Négligences et implications
Aux yeux des analystes de Forrester, cet incident révèle non seulement que le niveau de sécurisation des bases de données et du réseau du groupe Starwood était «scandaleusement faible», mais aussi que Marriott a fait preuve de négligences dans le cadre du processus de rachat de Starwood : «Si une due diligence en matière de cybersécurité a eu lieu, soit elle n'a pas fonctionné, soit elle a été ignorée.» Forrester souligne en outre les implications sur la sécurité étatique de cette brèche, au vu de la quantité et du type de données auxquelles les attaquants ont eu accès: «Chaque fois que les données de passeport sont compromises, vous devez tenir compte des ramifications potentielles.» Le cabinet pointe aussi du doigt la lenteur de réaction de Marriott, qui a attendu près de trois mois pour communiquer sur l’incident après la première alerte du 8 septembre. Le groupe hôtelier a donc largement dépassé le délai de notification de 72 heures imposé par le RGPD.
