Le piratage des données Starwood pourrait impacter 500 millions de clients

Meridien-Etoile

Le portefeuille hôtelier de Starwood comprend les enseignes W Hotels, Sheraton, Westin, Le Méridien ou encore Four Points by Sheraton et Design Hotels. Des propriétés de Starwood en multipropriété ont également été exposées. En photo : le Méridien Etoile, le plus grand hôtel de Paris, avec ses 1025 chambres et suites, entièrement rénové en 2016.

Marriott a reçu une alerte de sécurité sur une tentative d’accès à la base de données de Starwood le 8 septembre dernier. Ultérieurement et suite à une enquête sur cet incident, il a été découvert des accès non autorisés au réseau de Starwood depuis… 2014.

Une enquête interne a montré qu’une entité extérieure au groupe hôtelier avait copié et crypté des données et que le réseau de Starwood avait fait l’objet d’une intrusion depuis 2014, a précisé Marriott, qui assure avoir pris des mesures pour mettre fin à ce piratage.

Pour environ 327 millions de clients, ce détournement de données concerne des informations parmi l’identité, l’adresse postale, l’adresse de courriel, le numéro de téléphone, le numéro de passeport, le compte de fidélité Starwood, la date de naissance ou encore le sexe, dit Marriott, qui a découvert ce piratage à la suite d’une alerte de son système de détection le 8 septembre.

Pour d’autres, il pourrait également s’agir des numéros de cartes de paiement et leur date d’expiration mais ces données étaient cryptées (AES-128). Deux éléments sont nécessaires pour décrypter ces numéros et Marriott a dit ne pas être en mesure, en l’état actuel, d’écarter la possibilité que ces deux éléments aient été dérobés.

Le piratage des données Starwood pourrait impacte 500 millions de clients

CHICAGO, IL – NOVEMBER 30: A sign marks the location of a Marriott hotel on November 30, 2018 in Chicago, Illinois. Marriott says their Starwood guest reservation database was hacked, compromising the security of private information for up to 500 million hotel customers. Scott Olson/Getty Images/AFP

“Est-ce à dire que les clés de chiffrement étaient sur le même réseau ?”, s’interroge le site spécialisé GNT (Génération Nouvelles Technologies) qui a interrogé Pierre-Louis Lussan, country manager France chez Netwrix (société américaine de logiciels de sécurité informatique). Selon Lussan, “c’est une erreur très basique, et qui a des conséquences significatives pour le groupe hôtelier. […] Les organisations qui détiennent de nombreuses données personnelles et financières de leurs clients doivent faire leur possible pour éviter que des vulnérabilités élémentaires mettent leurs clients en danger. ”

Le groupe dit avoir informé les autorités et collaborer avec elles.

Marriott a indiqué offrir aux personnes affectées un abonnement gratuit pour un an à WebWatcher, un service qui surveille internet pour vérifier si les données personnelles d’un client sont utilisées.

Le groupe compte aujourd’hui 6 700 hôtels et résidences implantés dans 129 pays, répartis entre une trentaine d’enseignes différentes (Marriott, Ritz-Carlton, Renaissance, Courtyard, Sheraton, Westin Meridien…) opérés principalement en franchise. Fin 2017, il gérait 1,25 million de chambres et avait réalisé un volume d’affaires de plus de 22 milliards de dollars.

Le site web dédié à cet incident 

La base de données compromise n’était utilisée que pour les réservations dans les établissements de Starwood,  précise le site, l’enseigne Marriott utilisant un système différent sur un autre réseau.

HR Infos