L’attaque détectée en 2018 dont a été victime Starwood, filiale du groupe Marriott, a été facilitée par la négligence dont le géant de l’hôtellerie a fait preuve quant à la sécurité des données de ses clients. Il lui en coûte 18,4 millions de livres, montant de l’amende infligée par l’ICO britannique.
Mi-octobre, l’Information Commissioner’s Office, équivalent britannique de la Cnil, condamnait British Airways à une amende de 20 millions de livres. Le gendarme des données personnelles reprochait à la compagnie aérienne de ne pas avoir mis en place les moyens suffisants pour assurer la protection des données de ses clients, données dérobées lors d’une attaque détectée en septembre 2018.
Or un autre groupe était accusé de faits similaires. Le groupe Marriott avait fait l’acquisition en 2016 de son concurrent, Starwood. Pour s’apercevoir en 2018 que les serveurs de ce dernier étaient infiltrés depuis 2014. Au total, 18,5 millions de numéros de passeport chiffrés et 5,25 millions de numéros de passeport non chiffrés qui sont tombés entre les mains des attaquants, ainsi que 9,1 millions de numéros de cartes de paiement chiffrés.
Amende réduite
L’ampleur de l’affaire avait été telle que le patron de Marriott avait dû témoigner devant le Sénat américain. Et en juillet 2019, l’ICO signalait que, après British Airways, elle entendait bien s’attaquer au cas du géant de l’hôtellerie. Selon le régulateur britannique, “Marriott n'avait pas mis en place des mesures techniques ou organisationnelles appropriées pour protéger les données personnelles traitées sur ses systèmes”.
En cause, des méthodes d’authentification des utilisateurs trop faibles, qui ont permis aux attaquants de s’introduire sur le système d’information de Starwood avant de monter en privilèges. De même, quatre ans se sont écoulés avant que l’attaque ne soit détectée par Accenture, prestataire de Marriott. L’ICO prévoyait d’infliger à l'hôtelier une amende de 100 millions de livres, mais, comme pour British Airways, le gendarme britannique des données personnelles a revu la sanction à la baisse, examinant “les mesures prises par Marriott pour atténuer les effets de l'incident et l'impact économique du COVID-19 sur leur entreprise”. L’amende s’élève à 18,4 millions de livres.