Marriott, un groupe hôtelier US a révélé une violation massive de données affectant jusqu'à 500 millions de ses clients
Depuis 2014

Le , par Bill Fassinou

180PARTAGES

14  0 
Marriott International, Inc. est un groupe hôtelier américain spécialisé dans l'hôtellerie de luxe et est basé à Bethesda, dans le Maryland, aux États-Unis. Il comprend un portefeuille de plus de 6 700 établissements appartenant à 30 grandes marques hôtelières réparties dans 129 pays et territoires. En 2016, Marriott International a acheté Starwood, créant ainsi la plus grande chaîne d'hôtels. Les marques hôtelières Starwood comprennent les hôtels W, Sheraton, Le Méridien et Four Points by Sheraton. Les hôtels de marque Marriott utilisent un système de réservation distinct sur un réseau différent. Le 8 septembre dernier, Marriott a reçu une alerte d'un outil de sécurité interne concernant une tentative d'accès à la base de données de réservations Starwood aux États-Unis. Le groupe hôtelier a engagé des experts en sécurité pour déterminer ce qui se passait.

L’enquête a révélé qu’un accès non autorisé au réseau Starwood avait eu lieu depuis 2014. La société a récemment découvert qu’une partie non autorisée avait copié et crypté des informations et avait pris des mesures pour les supprimer. Le 19 novembre 2018, Marriott a été en mesure de déchiffrer les informations et a déterminé que le contenu provenait de la base de données de réservations Starwood. La société n’a pas fini d’identifier les informations en double dans la base de données, mais pense que celle-ci contient des informations relatives à environ 500 millions de personnes qui ont fait une réservation dans un établissement Starwood. Pour environ 327 millions de ces clients, les informations compromises sont entre autre un ensemble de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication.


Pour certains, les informations incluent également les numéros de carte de paiement et les dates d'expiration, mais les numéros de carte de paiement ont été cryptés à l'aide du cryptage Advanced Encryption Standard (AES-128). Deux composants sont nécessaires pour déchiffrer les numéros de carte de paiement et, à ce stade, Marriott n'a pas été en mesure d'exclure la possibilité que les deux aient été pris. Pour les clients restants, les informations se limitaient au nom et parfois à d'autres données telles que l'adresse postale, l'adresse électronique ou d'autres informations. « Ce sont des données extrêmement intimes », a déclaré Edward Hasbrouck, écrivain spécialisé dans le tourisme et défenseur des droits des consommateurs, qui a longtemps mis en garde contre la sensibilité et la sécurité insuffisante des enregistrements de voyage informatisés.

« L’industrie du voyage a fait preuve d’une grande négligence par rapport à de nombreuses industries en matière de confidentialité et de sécurité des données », selon lui. La valeur potentielle de telles informations sur un pourcentage aussi élevé de voyageurs du monde a provoqué des spéculations selon lesquelles Marriott aurait pu être la cible de pirates informatiques d'un État-nation cherchant à suivre les mouvements de diplomates, d'espions, de responsables militaires et de dirigeants d'entreprise. Pourtant, même si les pirates étaient de simples criminels à la recherche de profits, ces données fournissaient les éléments de base nécessaires pour toute une série de méfaits possibles, notamment le vol d’identité.

Matt Tait, un ancien officier des services de renseignements britanniques, a déclaré qu'il n'était pas clair si les pirates étaient des espions ou de simples criminels, bien qu'il soupçonne que Marriott soit victime d'une attaque d'un État-nation, car l'accès a duré si longtemps sans susciter de suspicion. « Les États-nations sont heureux de regarder et d'utiliser les informations de manière très passive, alors que les criminels veulent les transformer en argent liquide », a déclaré Tait, chercheur en cybersécurité au Centre Robert S. Strauss pour le droit et la sécurité internationale de l'Université du Texas à Austin.

Cependant, Gary Leff, auteur du blogue View From the Wing, a déclaré que l'industrie du voyage avait fait l'objet de nombreuses ruses ces dernières années et que les informations provenant des programmes de récompenses étaient régulièrement achetées et vendues en ligne par les criminels. Il a exprimé son scepticisme quant au piratage du système de réservation par un service de renseignement étranger. « Je ne pense pas qu'il aurait nécessairement fallu un État-nation pour s'introduire dans Starwood IT », a-t-il déclaré.

Marriott a signalé cet incident aux forces de l'ordre et continue de soutenir leur enquête. La société a déjà commencé à notifier les autorités de réglementation. « Nous regrettons profondément cet incident », a déclaré Arne Sorenson, président et chef de la direction de Marriott dans un communiqué de presse. « Nous n’avons pas satisfait ce que nos clients méritent et ce que nous attendons de nous-mêmes. Nous faisons tout ce qui est en notre pouvoir pour aider nos clients et utilisons les leçons apprises pour progresser. Aujourd'hui, Marriott réaffirme son engagement envers ses clients du monde entier. Nous travaillons fort pour que nos clients aient des réponses aux questions concernant leurs informations personnelles, avec un site web dédié et un centre d'appels. Nous continuerons également à soutenir les efforts des forces de l'ordre et à travailler avec les meilleurs experts en sécurité pour améliorer les choses. Enfin, nous consacrons les ressources nécessaires à la suppression progressive des systèmes Starwood et à l’accélération des améliorations de la sécurité de notre réseau », a poursuivi Sorenson.

La société offre aux clients concernés un abonnement d'un an à un service de contrôle des fraudes. Marriott offre aux clients la possibilité de s’inscrire à WebWatcher gratuitement pendant un an. WebWatcher surveille les sites Internet où des informations personnelles sont partagées et génère une alerte pour le consommateur si des preuves de ses informations personnelles sont trouvées. Les actions de la société ont chuté de près de 6 % hier après l'annonce du scandale. Hier, le groupe hôtelier a déclaré qu'il allait commencé à envoyer des e-mails aux clients concernés dont les adresses e-mail se trouvent dans la base de données de réservations Starwood.

Le département d'Etat américain, département exécutif fédéral chargé des relations internationales, a publié une déclaration à la suite d'informations sur cette violation hier. « Nous sommes conscients que les numéros de passeport de certaines personnes ont peut-être été divulgués, mais nous tenons à souligner qu'aucun des registres ou systèmes informatiques du département d'État américain ne se connecte aux registres de Marriott ou des systèmes. Personne ne peut accéder aux archives du département ou obtenir des copies des archives d'un citoyen américain en utilisant un numéro de passeport », tient à rassurer Le département d'Etat américain.

Source : The Washington Post, communiqué de presse

Et vous ?

Qu'en pensez-vous ?
Quelles dispositions recommanderiez-vous aux victimes dont les données personnelles sont exposées dans cette attaque ?

Voir aussi

Uber versera 148 millions de dollars pour régler une enquête pour violation de données, pour avoir dissimulé l'accès non autorisé au public

Une violation de données coûterait environ 3,86 millions $ US par entreprise et par an, selon une étude de Ponemon Institute pour IBM Security

Violations de données personnelles : la CNIL dresse un premier bilan chiffré quatre mois après l'entrée en application du RGPD

Le nombre de violations de données signalées en 2018 par les entreprises a diminué de 8 % et le nombre d'enregistrements exposés a diminué de moitié

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de transgohan
Expert éminent https://www.developpez.com
Le 10/07/2019 à 10:44
Citation Envoyé par Aiekick Voir le message
hors l'utilisateur ne verrais jamais l’argent de ces amandes vu qu'elle ne lui sont pas destinées...
Le but n'est pas de payer des dommages et intérêts aux utilisateurs, ça ils peuvent le demander en portant plainte eux même.
Le but est que les entreprises investissent dans la protection des données par peur de devoir payer des amendes (ça a plus de poids que les amandes ).
7  1 
Avatar de herr_wann
Membre actif https://www.developpez.com
Le 05/01/2019 à 11:30
Ce n'est pas grave, les 5 millions de personnes concernées n'ont rien à cacher
3  0 
Avatar de tanaka59
Membre expérimenté https://www.developpez.com
Le 05/01/2019 à 14:08
Les violations de masses de données telle qu'exposées ici ne font plus rire du tout

On en reparlera le jour ou votre identité sera usurpée , que vous devrait prouver que vous êtes bien "vous" . Que vous devrez supporter le remboursement des fraudes contractées par votre usurpateur. Au risque d'être bloqué administrativement. Pire encore quand vous aurez de la difficulté face à la maréchaussée , car votre usurpateur aura commis un meurtre, un accident grave , des trafics en tout genre ...
3  1 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 10/07/2019 à 10:15
c'est bien gentil toutes ces amandes RGPD, mais au fond ce qui a été mit en risque ou piraté ce sont les données utilisateur, hors l'utilisateur ne verrais jamais l’argent de ces amandes vu qu'elle ne lui sont pas destinées...
2  0 
Avatar de tanaka59
Membre expérimenté https://www.developpez.com
Le 06/01/2019 à 19:04
Bonsoir

Citation Envoyé par TheLastShot Voir le message
A la maréchaussée ?
Toute force de l'ordre pouvant exercer une mission de police ou maintien de l'ordre
0  0 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 06/01/2019 à 19:23
Citation Envoyé par tanaka59 Voir le message
Bonsoir

Toute force de l'ordre pouvant exercer une mission de police ou maintien de l'ordre
Euh non, la maréchaussée c'est l'ancien nom de la gendarmerie nationale, qui a aussi changé de fonctionnement entre temps. Donc en fait c'est quelque chose qui n'existe plus... (c'est un peu comme si tu parlais de "télévision cathodique" pour parler des télévision d'aujourd'hui)
0  0 
Avatar de 4bstract
Membre régulier https://www.developpez.com
Le 10/07/2019 à 10:48
Ces amendes sont complètement contre-productives. Dans l'article, il est dit que c'est Starwood qui a fait la démarche de signaler le problème à l'ICO. Et pour leur coopération, ils récoltent une amende de 110 millions. Après ça, il faudra pas s'étonner si les entreprises tentent d'étouffer tous leurs problèmes de cyber-sécurité. Dites moi si l'analogie est mauvaise mais lorsqu'une banque se fait braquer, ce n'est pas elle qui se prend une amende pour le manque de sécurité. Certes la logique est différente pour les données dématérialisées mais pas dans cet ampleur.
La rigidité du système anglais va, à terme, causer beaucoup de tort (en référence aussi à l'article Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique).
1  1 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 06/01/2019 à 16:06
Citation Envoyé par tanaka59 Voir le message
Les violations de masses de données telle qu'exposées ici ne font plus rire du tout

On en reparlera le jour ou votre identité sera usurpée , que vous devrait prouver que vous êtes bien "vous" . Que vous devrez supporter le remboursement des fraudes contractées par votre usurpateur. Au risque d'être bloqué administrativement. Pire encore quand vous aurez de la difficulté face à la maréchaussée , car votre usurpateur aura commis un meurtre, un accident grave , des trafics en tout genre ...
A la maréchaussée ? Palsambleu, docteur Who est parmi nous.
0  2 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web