Les hôtels du groupe Marriott ont récemment eu une bien mauvaise surprise… Et que dire de leurs clients ! En effet, fin 2018, les données de 500 millions de clients ayant séjourné au sein des hôtels de la filiale Starwood de Marriott (Sheraton, Westin, Le Méridien et St. Regis) ont été subtilisées. Parmi ces données confidentielles, des numéros de cartes bancaires et des numéros de passeport.
Des hackers ont piraté les données des clients de Marriott pendant quatre ans
Pendant plus de quatre ans, des hackers se sont infiltrés dans la base de données de la filiale Starwood du groupe Marriott, laquelle englobe des marques hôtelières telles qu’Aloft, Sheraton, Westin, Le Méridien, St. Regis et The Luxury. La fuite de données a pris des proportions énormes puisqu’elle concerne 500 millions de clients ayant fréquenté l’un ou l’autre des hôtels cités partout dans le monde. Quand on vous dit que régulièrement détruire les documents confidentiels de vos clients est important !
Pour 327 millions de ces personnes, les données dérobées incluent des noms, adresses postales, numéros de téléphone et adresses email. Parfois, le numéro de passeport, les informations relatives au compte Starwood Preferred Guest (SPG), la date de naissance, le sexe, la date d’arrivée et de départ, la date de réservation et les préférences en termes de communication des clients sont aussi concernés. Autant dire que le désastre est grand, et que Marriott et Starwood vont pendant longtemps pâtir de ce scandale. Visiblement, les pirates auraient pu dérober les clés secrètes permettant de déchiffrer les différentes données privées en question !
Tout a commencé par un piratage des équipements de points de vente
Tandis que l’enquête est toujours en cours, Marriott revendique que les malfrats de l’informatique ont pénétré le système d’information de Starwood en novembre 2014 en piratant une partie de ses équipements de points de vente, chose qui a d’ailleurs entraîné le vol de données de cartes bancaires, CCV compris. Le groupe n’aurait reçu d’alerte de sécurité qu’à partir du 08 septembre 2018.
À noter qu’une telle attaque n’est pas inédite. En effet, par le passé, d’autres chaînes hôtelières ont été victimes de piratage : Hilton, Mandarin Oriental, InterContinental, Holiday Inns, Kympton, Trump Hotel, toutes ont au moins subi une cyber-attaque de ce type depuis 2015.
Rappelons que le piratage de données informatiques commence très souvent par une erreur humaine, permettant aux Hackers de pénétrer les systèmes. Pour cela détruire les disques durs des ordinateurs en fin de vie permet d’éviter de donner des portes d’accès aux Hackers comme les configurations des systèmes réseau et autres informations sensibles qui se trouve sur ces disques durs. Tout comme la destruction des documents permet d’éliminer les pistes qui offre aux personnes malintentionnées la possibilité d’obtenir des informations pouvant aboutir à un piratage informatique par du Phishing par exemple.