Les informations de 500 millions de clients du groupe hôtelier Starwood, propriété de Marriott, ont été compromises. Y compris des données bancaires. La faille était ouverte depuis 2014 et a été repérée en septembre dernier.
Quand Marriott a mis la main en 2016 sur Starwood (propriétaires des marques Sheraton, Westin, Four Points ou encore Méridien), il devenait le premier groupe hôtelier du monde. Mais il ne se doutait pas que deux ans plus tard cette acquisition entraînerait une énorme faille de sécurité. « Le 8 septembre 2018, Marriott a reçu une alerte d'un outil de sécurité interne concernant une tentative d'accès à la base de données de réservations Starwood aux États-Unis » raconte le géant de l’hôtellerie dans un communiqué.
Marriott a mené son enquête et a eu confirmation en novembre que des accès non-autorisés au réseau de Starwood avaient lieu depuis 2014 et qu’une tierce partie était parvenue à copier et chiffrer des informations. « Marriott a été en mesure de déchiffrer les informations et a déterminé que le contenu provenait de la base de données de réservations Starwood » en novembre 2018. Il en conclut qu’ont été dérobées les données des clients des hôtels Starwood ayant réservés avant le 10 septembre 2018.
Des données bancaires aussi
Si l’entreprise n’a pas totalement terminé d’identifier les informations dupliquées et volées, ses premières estimations grimpent à « approximativement » 500 millions de clients affectés. Pour 327 millions d’entre eux, ont fuité noms, adresses postales, numéros de téléphone, adresses électroniques, numéros de passeport, informations de compte Starwood Preferred Guest, dates de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication.
Certains ont eu plus de chance puisque dans quelques cas seuls les noms et les adresses postales ou électroniques ont été dérobés. Mais pour d’autres, Marriott évoque sans donner de chiffres précis que « les informations incluent également les numéros de carte de paiement et les dates d'expiration ». Si les numéros de carte sont chiffrés en AES-128, l’entreprise explique ne pas savoir si les attaquants ont obtenu toutes les informations nécessaires pour pouvoir déchiffrer les numéros de carte. Depuis, l’entreprise a averti les autorités compétentes et a commencé à notifier les autorités de protection des données personnelles, ainsi que ceux de ses clients qui sont affectés par ce braquage en règle. Marriott souligne avoir pris des mesures de sécurité supplémentaires depuis.
Coïncidence ? Arne Sorenson (à droite), Président et CEO de Marriott International, participait dernièrement à la conférence Converge'18 organisée par Tanium à Washington sur le thème de la Business Resilience.