Piratage massif du groupe hôtelier Marriott, 500 millions de clients touchés

CYBERSECURITE C'est le second plus gros vol de données après celui dont avait été victime Yahoo en 2013...

P.B. avec AFP

— 

Un hôtel Westin (groupe Starwood/Marriott) à New York.
Un hôtel Westin (groupe Starwood/Marriott) à New York. — Mark Lennihan/AP/SIPA

C’est une méga-fuite de données. Le groupe hôtelier américain Marriott a révélé vendredi qu’il avait été victime d’un piratage massif, avec des accès non-autoriséss à la base de données de sa filiale Starwood (1.200 hôtels dans le monde, notamment W Hotels, Sheraton et Westin). Noms, adresses postale et électronique, dates de réservation, numéros de téléphone et de passeport… Les informations d’environ 500 millions de clients ont été dérobées. Et pour les membres du programme Starwood Preferred Guest, les numéros de cartes American Express sont également concernés. C’est le second plus gros vol de données de l’histoire, après le piratage de 3 milliards de comptes Yahoo révélé en 2016. La justice de New York a annoncé l'ouverture d'une enquête.

Les accès non-autorisés, avec une duplication de la base de données, ont commencé en 2014. Marriott assure que les numéros de cartes de crédit étaient chiffrés sous la norme Advanced Encryption Standard encryption (AES-128), qui utilise un algorithme jugé très sûr par les experts. Mais la chaîne n’exclut pas que les deux éléments nécessaires au déchiffrement des données aient été compromis. Pour ceux qui seraient membres du programme Starwood Preferred Guest, mieux vaut surveiller son activité et contacter Marriott en cas de transaction suspect.

Le RGPD en action

« Nous regrettons profondément cet incident. Depuis le début, nous avons agi rapidement pour limiter cet incident et mener une enquête approfondie avec l’assistance d’experts en sécurité de premier plan », a indiqué Arne Sorenson, patron de Marriott, cité dans le communiqué. « Nous faisons tout notre possible pour soutenir nos clients ». « Nous allouons toutes les ressources nécessaires pour éliminer les systèmes Starwood et accélérer le renforcement en cours de la sécurité de notre réseau », a-t-il souligné.

« Toutes les grandes chaînes hôtelières ont été attaquées au cours des trois dernières années, même si toutes n’ont pas signalé ces compromissions ; le RGPD les oblige cependant désormais à révéler les violations de données dans les 72 heures », analyse Luis Corrons, chercheur en sécurité chez Avast.