La chaîne d’hôtellerie Marriott a annoncé vendredi le piratage d’une base de données des hôtels Starwood pouvant contenir les informations d’environ 500 millions de clients. Une enquête interne a révélé des “accès non autorisés” depuis 2014.
Elle a précisé dans un communiqué avoir reçu un signalement le 8 septembre 2018 concernant une tentative d’accès à un vaste fichier de réservations aux Etats-Unis et l’enquête a révélé qu’un “tiers non autorisé” avait “copié et crypté des informations, et avait entrepris des opérations pour les retirer“. “L’enquête a déterminé qu’il existait un accès non autorisé à la base de données, qui contenait des informations sur les clients relatives aux réservations effectuées sur les propriétés de Starwood au plus tard le 10 septembre 2018.” C’est le 19 novembre dernier que Marriott a alors été en mesure de déchiffrer les informations et “a déterminé que le contenu provenait de la base de données de réservations Starwood“, le propre réseau de Marriott n’étant pas affecté. Le groupe a également précisé : “Au cours de l’enquête, Marriott a appris qu’il y avait eu un accès non autorisé au réseau Starwood depuis 2014.” Une découverte qui aurait donc eu lieu 4 ans plus tard…
Le vol de numéros de carte de paiement non exclu
ll a relevé que pour environ 327 millions de clients sur les quelque 500 millions qui figureraient dans la base de données affectée, les informations contenues incluent noms, adresses postale et électronique, numéros de téléphone et de passeport, date de naissance, sexe, date d’arrivée et de départ, date de réservation, préférence de communications, ou encore détails sur le compte Starwood Preferred Guest (SPG), une carte haut de gamme lancée récemment par l’émetteur de cartes de crédit American Express (AmEx) destinée aux voyageurs réguliers. Pour certains, les informations incluent également les numéros de carte de paiement et les dates d’expiration, précise Marriott, avant d’ajouter “les numéros de carte de paiement ont été chiffrés à l’aide du cryptage Advanced Encryption Standard (AES-128). Deux composants sont nécessaires pour décrypter les numéros de carte de paiement et, pour l’instant, Marriott n’a pas été en mesure d’exclure la possibilité que les deux aient été volés.”
Pour les autres, les informations ne comportent que le nom et, parfois, d’autres détails comme les adresses email et postale.
Il compte envoyer des emails aux personnes concernées à partir de vendredi, a-t-il ajouté. Il offre également l’abonnement gratuit à WebWatcher, un service qui surveille internet pour vérifier si des données personnelles d’un client sont utilisées. Un service disponible aux Etats-Unis, Canada et Royaume-Uni.
Le portefeuille hôtelier de Starwood inclut W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels participants au Starwood Preferred Guest (SPG) program.
Un précédent chez Starwood
En novembre 2015, Starwood avait annoncé avoir fait l’objet d’attaques informatiques par un logiciel malveillant destinées à voler les données bancaires de ses clients. Il aura fallu 1 an pour que le groupe s’en apercevoir alors… Le vendredi 20 novembre, il y a presque 3 ans jour pour jour, il indiquait qu’avait eu lieu une attaque de son système informatique en Amérique du nord, la trace de la première infection remontant un an auparavant, au 5 novembre 2014. 54 lieux avaient alors été affectés. A l’époque, Starwood Hôtels venait d’être racheté par Marriott pour 12,2 milliards de dollars. Après cette infection, le groupe avait indiqué que le malware n’était plus actif et qu’il avait pris des mesures supplémentaires de sécurité pour empêcher ce type d’attaque dans le futur… Ce qui à l’aune de cette nouvelle attaque, ou suite de la précédente ?, laisse interrogatif.
Starwood, Hilton, Hyatt… De nombreux hôtels de luxe ont été visés ces dernières années par des cyberattaques.