La chaîne Starwood Hotels (Sheraton, Westin, etc) a été victime d'un piratage et du vol d'informations sur une base de données dédiée aux réservations de ses clients.

Les piratages ne sont plus une chose rare pour les entreprises. Mais celui-ci marque par son importance. Vendredi, le groupe hôtelier américain Marriott International a annoncé que des hackers avaient eu «un accès non autorisé» au réseau de Starwood Hotels, l'une de ses filiales. Les informations de plus de 500 millions de clients dans le monde sont concernées. Cela concerne les personnes ayant effectué des réservations dans les différentes marques de la chaîne, comme les hôtels Westin, Le Méridien, Sheraton, St Regis, Element, W, Four Points ou Aloft.

Pour 327 millions de victimes, les données dérobées consistent en la combinaison de noms et prénoms, adresse mail, numéro de téléphone, adresse postale ou le numéro de passeport. Pour d'autres, d'un nombre inconnu, ce sont des données bancaires qui ont été dérobées. Elles étaient stockées de manière chiffrée, c'est-à-dire protégées. Néanmoins, Marriott «ne peut pas écarter la possibilité que des éléments pour déchiffrer ces données» aient également été dérobés.

De fortes amendes possibles

«Nous avons contacté les autorités et soutenons leur enquête», précise Marriott International dans un communiqué publié sur le site de la SEC, le gendarme américain de la Bourse. Le groupe américain explique que les clients victimes de ce piratage seront bientôt contactés par email. «Nous regrettons énormément cet incident», assure Arne Sorenson, PDG de Marriott. «Nous avons déçu nos clients et nous nous sommes déçus de nous-même. Nous ferons tout ce qui est possible pour soutenir nos clients et apprendre de nos erreurs.»

La faille de sécurité a d'abord été détectée au mois de septembre. Néanmoins, d'après l'enquête de Marriott, le réseau de Starwood avait déjà été violé à plusieurs reprises depuis 2014. «Nous avons découvert qu'un tiers avait copié et chiffré certaines informations, et qu'il cherchait à les retirer de la base de données», précise le groupe hôtelier. «Le 19 novembre, nous sommes parvenus à déchiffrer ces informations et avons constaté qu'il s'agissait d'une base de données relative aux réservations de Starwood.»

L'ampleur de ce piratage est particulièrement grave. En 2017, Yahoo! avait reconnu plusieurs failles de sécurité ayant affecté au total les comptes de 3 milliards de personnes dans le monde. La même année, c'est Equifax, spécialiste de la cote de crédit aux États-Unis, qui s'est fait dérober des informations sensibles sur 143 millions d'internautes. Si des clients européens sont concernés par cet incident, Marriott encourt de fortes amendes. Depuis la mise en place du règlement européen des données (RGPD), les entreprises victimes de failles de sécurité mettant en danger les données de leurs utilisateurs encourent une amende allant jusqu'à 4% de leur chiffre d'affaires mondial.