C'est une grosse fuite de données qui pourrait avoir affecté jusqu'à 500 millions de clients. Le groupe hôtelier Marriott révèle que des attaquants ont compromis la base de données de réservations de clients de sa filiale Starwood (qui possède plusieurs marques).
Marriott a reçu une alerte de sécurité sur une tentative d'accès à la base de données de Starwood le 8 septembre dernier. Ultérieurement et suite à une enquête sur cet incident, il a été découvert des accès non autorisés au réseau de Starwood depuis... 2014.
De quoi se poser des questions sur l'efficacité des systèmes de détection en place, mais ce n'est pas la seule révélation qui suscite l'étonnement.
Le groupe indique que pour environ 327 millions de clients, les données compromises comprenaient nom, adresse postale, numéro de téléphone, adresse email, numéro de passeport, date de naissance, sexe ou encore informations d'arrivée et de départ.
Pour certains, il est également évoqué des numéros de cartes de paiement et dates d'expiration. Si les numéros étaient chiffrés (AES-128), Marriott écrit ne pas avoir été en mesure d'exclure la possibilité du vol de deux éléments pour déchiffrer les numéros. Est-ce à dire que les clés de chiffrement étaient sur le même réseau ?
Country Manager France chez Netwrix, Pierre-Louis Lussan commente à propos de ce dernier point en particulier : " C'est une erreur très basique, et qui a des conséquences significatives pour le groupe hôtelier. […] Les organisations qui détiennent de nombreuses données personnelles et financières de leurs clients doivent faire leur possible pour éviter que des vulnérabilités élémentaires mettent leurs clients en danger. "
Le groupe Marriott - qui présente ses excuses - a mis en ligne un site web dédié à cet incident de sécurité. À noter que Marriott a racheté Starwood en 2016 pour devenir le leader mondial de l'hôtellerie. La base de données compromise n'était utilisée que pour les réservations dans les établissements de Starwood, Marriott utilisant un système différent sur un autre réseau.