Le groupe hôtelier Marriott a annoncé, vendredi 30 novembre, que le système de réservation de sa filiale Starwood avait été piraté. Le piratage a rendu accessibles pendant quatre ans les données de centaines de millions de clients : depuis 2014, et jusqu’à septembre 2018, les pirates avaient en effet accès à une base de données contenant des données personnelles de « 500 millions de clients qui ont fait une réservation » dans un des hôtels de l’entreprise Starwood. Cette dernière possède notamment les marques Westin, Sheraton, W Hotels ou Le Méridien.

L’entreprise ne précise pas clairement si 500 millions de clients différents sont concernés par le piratage, ou s’il s’agit des données concernées par les 500 millions de réservations évoquées. Elle n’explique pas non plus précisément si des données ont été téléchargées depuis la base de données par les pirates, seulement que cette dernière a été visitée.

Il n’en reste pas moins que tous les clients ayant effectué une réservation dans des hôtels de la marque Starwood jusqu’au 10 septembre dernier inclus sont concernés par cette fuite. L’entreprise affirme avoir commencé à les contacter.

Des données très précises

Le groupe Marriott précise que pour 327 millions de ces clients, les données vulnérables contenaient leur nom, leur adresse postale, leur numéro de téléphone, leur adresse e-mail, leur numéro de passeport, de programme de fidélité, leur date de naissance, leur genre ainsi que les dates d’arrivée et de départ de l’hôtel.

Les pirates ont également pu lire les données de cartes bancaires de certains d’entre eux. Elles étaient protégées par du chiffrement, un mécanisme censé les rendre illisibles, mais Marriott « n’exclut pas » que les pirates aient récupéré les éléments leur permettant d’obtenir des numéros de cartes bancaires utilisables. Pour le reste des clients touchés, seuls les noms, et dans certains cas l’adresse e-mail ou postale ont été compromis.

Ces données, parfois très sensibles, peuvent être utilisées par des pirates pour de l’usurpation d’identité ou de l’escroquerie. Au surplus, pour certaines populations (cadres d’entreprise, membres de services de renseignement, diplomates, hommes et femmes politiques…), les données compromises peuvent être extrêmement révélatrices.

Les « regrets » du PDG

« Nous regrettons profondément cet incident. Nous n’avons pas été à la hauteur de ce que méritent nos clients. Nous faisons tout notre possible pour les soutenir », a déclaré le PDG de Marriott, Arne Sorenson. L’entreprise a mis en place un centre d’appel et un site d’information pour répondre aux inquiétudes de ses clients.

Marriott, dont le siège est situé aux Etats-Unis, dit avoir « averti les forces de l’ordre » et « commencé à notifier les autorités de régulation ». Depuis l’entrée en vigueur du nouveau cadre légal sur les données personnelles en Europe et si des clients européens sont touchés par la fuite de données, l’entreprise doit avertir une autorité européenne de protection des données personnelles, ainsi que les clients européens concernés.

L’achat de Starwood par Marriott, définitif depuis l’automne 2016, a donné naissance à la plus grande chaîne hôtelière du monde, avec 6 700 établissements de 30 enseignes différentes présents dans 129 pays, selon les chiffres communiqués par l’entreprise.