La chaîne hôtelière Mariott victime d'un piratage massif. 500 millions de clients sont impactés

Par:
fredericmazue

ven, 30/11/2018 - 19:02

Ce vendredi, Marriott International, propriétaire de la marque Starwood depuis 2016, annoncé un piratage massif de la base de données des hôtels Starwood. 500 millions de clients qui ont effectué des réservations avant le 8 septembre dernier dans des hôtels W Hotels, Westin Hotels, Sheraton Hotels, Four Points, ou encore Le Méridien Hotels sont impactés. Mariott a communiqué à propos de cet incident à partir d'une page dédiée.

Alerté par un outil de sécurité interne d'une tentative d'accès à la base de données de réservations Starwood, Mariott a engagé des experts en cybersécurité afin de comprendre ce qui se passait. L'enquête a montré qu'il y avait eu un accès non autorisé au réseau Starwood depuis 2014

Selon les informations dont dispose Mariott à ce jour, ce sont 500 millions de clients qui sont impactés par ce vol de données. Pour 327 millions d'entre eux, les informations volées sont : nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication. Pour les autres, les informations volées ne comportent que le nom et, parfois, 'd'autres données' comme les adresses email et postales. 

Pour certains des clients (lesquels ? Mariott ne donne aucune précision), les informations volées incluent également les numéros de carte de paiement et les dates d'expiration. Les numéros de carte de paiement ont été cryptés à l'aide du cryptage Advanced Encryption Standard (AES-128), souligne Mariott qui précise que deux composants sont nécessaires pour déchiffrer les numéros de carte de paiement... avant de confesser ne pas être en mesure d'exclure la possibilité que les deux composants aient été volés également.

Dans son mea culpa, Mariott dit regretter l'incident. Mariott devrait aussi regretter avoir engagé des experts en cybersécurité après l'incident, et non avant. Quand on détient une telle base de données, on est forcément la cible d'attaques tous azimuts, ce qui justifie une sécurité renforcée.

Mariott risque fort d'être à l'amende en vertu du règlement général européen de protection des données personnelles (RGPD) qui prévoit que les entreprises mettant en danger leurs utilisateurs peuvent écoper d'une sanction pouvant s'élever jusqu'à 4% de leur chiffre d'affaire mondial.