Le vol concerne la filiale Starwood qui englobe des marques telles que Sheraton, Westin, Le Méridien ou St. Regis. Parmi les données subtilisées figurent également des données de cartes bancaires.
Mauvaise surprise pour les clients de certains hôtels du groupe Marriott. Pendant plus de quatre ans, des pirates ont siphonné en douce les bases de données de la filiale Starwood, qui englobe notamment les établissements de marque Sheraton, Westin, Aloft, Le Méridien, St. Regis ou The Luxury. L’ampleur de la fuite de données est énorme, car elle concerne environ 500 millions de personnes dans le monde, à des degrés divers.
Ainsi, pour 327 millions de clients, les données volées incluent « le nom, l’adresse postale, le numéro de téléphone, l’adresse e-mail, le numéro de passeport, les informations du comptes Starwood Preferred Guest (SPG), la date de naissance, le sexe, la date d’arrivée et de départ, la date de réservation et les préférences en terme de communication ». Pour certains d’entre eux, les données de cartes bancaires faisaient également partie du lot. Le groupe hôtelier précise que les numéros de carte bancaire étaient chiffrés avec l’algorithme AES-128. Néanmoins, l’entreprise « ne peut pas exclure »que les pirates aient pu mettre la main sur les clés secrètes qui permettent de les déchiffrer. Oups. Pour les 173 millions de clients restants, la fuite de données se limite au nom, à l’adresse postale et à l’adresse e-mail. Ce qui n’est déjà pas mal.
Des points de vente à la base de données
Une enquête est toujours en cours pour déterminer tous les détails de ce piratage. D’après un communiqué de Marriott, les cybermalfrats auraient pénétré le système d’information de Starwood en 2014. Marriott aurait ensuite reçu une alerte de sécurité le 8 septembre 2018 signalant un « accès non autorisé de la base de données de réservation clients ». Le groupe ne donne pas plus de précisions, mais Brian Krebs rappelle à juste titre que Starwood a été victime d’un piratage des équipements de points de vente en novembre 2014, entraînant le vol de données de cartes bancaires (y compris les CVV). Il est possible que les deux piratages soient liés et que les hackers aient commencé par les points de vente avant de cibler la base de données des réservations. Il faudra attendre la suite de l’enquête pour en savoir plus.
Ce n’est pas la première fois qu’une chaîne hôtelière se fait pirater. En fait, presque tous les grands groupes ont déjà reçu la visite de hackers : Hilton et Mandarin Oriental en 2015, InterContinental, Holiday Inns et Kimpton en 2016, Hyatt et Trump Hotel en 2017. Une fin n’est pas en vue.
Avec 01net