Le site web dédié à cet incident
La base de données compromise n’était utilisée que pour les réservations dans les établissements de Starwood, précise le site, l’enseigne Marriott utilisant un système différent sur un autre réseau.
La base de données des hôtels Starwood a été piratée, ce qui pourrait avoir entraîné le vol d’informations concernant un demi-milliard de clients, a annoncé vendredi 28 novembre, Marriott International, propriétaire de la marque depuis 2016.
HackerMarriott a reçu une alerte de sécurité sur une tentative d’accès à la base de données de Starwood le 8 septembre dernier. Ultérieurement et suite à une enquête sur cet incident, il a été découvert des accès non autorisés au réseau de Starwood depuis… 2014.
Une enquête interne a montré qu’une entité extérieure au groupe hôtelier avait copié et crypté des données et que le réseau de Starwood avait fait l’objet d’une intrusion depuis 2014, a précisé Marriott, qui assure avoir pris des mesures pour mettre fin à ce piratage.
Pour environ 327 millions de clients, ce détournement de données concerne des informations parmi l’identité, l’adresse postale, l’adresse de courriel, le numéro de téléphone, le numéro de passeport, le compte de fidélité Starwood, la date de naissance ou encore le sexe, dit Marriott, qui a découvert ce piratage à la suite d’une alerte de son système de détection le 8 septembre.
Pour d’autres, il pourrait également s’agir des numéros de cartes de paiement et leur date d’expiration mais ces données étaient cryptées (AES-128). Deux éléments sont nécessaires pour décrypter ces numéros et Marriott a dit ne pas être en mesure, en l’état actuel, d’écarter la possibilité que ces deux éléments aient été dérobés.
« Est-ce à dire que les clés de chiffrement étaient sur le même réseau ? », s’interroge le site spécialisé GNT (Génération Nouvelles Technologies) qui a interrogé Pierre-Louis Lussan, country manager France chez Netwrix (société américaine de logiciels de sécurité informatique). Selon Lussan, « c’est une erreur très basique, et qui a des conséquences significatives pour le groupe hôtelier. […] Les organisations qui détiennent de nombreuses données personnelles et financières de leurs clients doivent faire leur possible pour éviter que des vulnérabilités élémentaires mettent leurs clients en danger. »
Le groupe dit avoir informé les autorités et collaborer avec elles.
Marriott a indiqué offrir aux personnes affectées un abonnement gratuit pour un an à WebWatcher, un service qui surveille internet pour vérifier si les données personnelles d’un client sont utilisées.
Le groupe compte aujourd’hui 6 700 hôtels et résidences implantés dans 129 pays, répartis entre une trentaine d’enseignes différentes (Marriott, Ritz-Carlton, Renaissance, Courtyard, Sheraton, Westin Meridien…) opérés principalement en franchise. Fin 2017, il gérait 1,25 million de chambres et avait réalisé un volume d’affaires de plus de 22 milliards de dollars.
«
Le site web dédié à cet incident
La base de données compromise n’était utilisée que pour les réservations dans les établissements de Starwood, précise le site, l’enseigne Marriott utilisant un système différent sur un autre réseau.