Le géant mondial de l'hôtellerie Marriott, dont le siège est à Bethesda (Maryland), victime d'un piratage d'une base de données pouvant contenir les informations d'environ 500 millions de clients. REUTERS/Andrew Kelly
Le géant mondial de l'hôtellerie Marriott a annoncé vendredi le piratage d'une base de données pouvant contenir les informations d'environ 500 millions de clients, précisant qu'une enquête interne avait révélé des "accès non autorisés" depuis 2014.
Le groupe américain, dont le siège est à Bethesda (Maryland), a indiqué dans un communiqué avoir reçu un signalement interne le 8 septembre 2018 concernant une tentative d'accès à un vaste fichier de réservations aux Etats-Unis. Son enquête a révélé qu'un "tiers non autorisé" avait "copié et crypté des informations, et avait entrepris des opérations pour les retirer".
"Nous regrettons profondément cet incident. Depuis le début, nous avons agi rapidement pour limiter cet incident et mener une enquête approfondie avec l'assistance d'experts en sécurité de premier plan", a indiqué Arne Sorenson, patron de Marriott, cité dans le communiqué. "Nous faisons tout notre possible pour soutenir nos clients". "Nous allouons toutes les ressources nécessaires pour éliminer les systèmes Starwood et accélérer le renforcement en cours de la sécurité de notre réseau", a-t-il souligné.
Le groupe Marriott, qui a fusionné en 2016 avec l'Américain Starwood, devenant alors le premier groupe hôtelier mondial, dit ne pas avoir fini d'identifier les informations ayant été dupliquées. Elles peuvent concerner des réservations effectuées jusqu'au 10 septembre 2018 inclus.
A la clôture de Wall Street vendredi, l'action du géant a reculé de 5,59% à 115,03 dollars. Les forces de l'ordre ont ouvert une enquête avec laquelle Marriott coopère, et les autorités de régulation ont été prévenues. La procureure de New York Barbara Underwood a notamment fait savoir sur Twitter que ses services se penchaient sur cette intrusion. "Les New-Yorkais méritent de savoir que leurs données personnelles seront protégées", a-t-elle relevé.
Contactée par l'AFP, la police fédérale américaine a indiqué en être "informée" et "suivre la situation". Et le FBI d'inviter les "personnes contactées par la société" à "signaler" toute suspicion d'usurpation d'identité au centre de plaintes de l'agence fédérale réservé aux crimes commis sur internet.
Réseau Starwood
Marriott a relevé que pour environ 327 millions de clients sur les quelque 500 millions qui figureraient dans la base de données visée, les informations incluent noms, adresses postale et électronique, numéros de téléphone et de passeport, date de naissance, sexe ou encore détails sur le compte Starwood Preferred Guest (SPG), une carte haut de gamme lancée récemment par l'émetteur de cartes de crédit American Express et destinée aux voyageurs réguliers.
Pour certaines de ces personnes, le numéro de carte bancaire et sa date d'expiration sont également concernés mais Marriott n'est pas en mesure à ce stade d'indiquer si le ou les intrus sont parvenus à passer outre les protections de cryptage propres à SPG. Pour les millions d'autres clients, les informations à risque ne comportent que le nom et, parfois, d'autres détails comme les adresses e-mail et postale.
Ce serait le plus important piratage connu de données privées depuis celui de Yahoo en 2013, lorsque l'ensemble de ses trois milliards de comptes utilisateurs avaient été affectés.
Il s'agit d'"une violation importante des données pendant quatre ans", ont relevé les analystes de Cowen, estimant que le fait que seul le système Starwood soit touché et que le groupe ait agi de façon "assez rapide" devrait permettre de "limiter les dégâts". Pour ceux de Goldman Sachs, "même si la magnitude (du piratage) est vaste, il est trop tôt pour évaluer l'impact financier potentiel" pour Marriott qui, relèvent les analystes, dispose d'une assurance de cybersécurité. Le groupe hôtelier a mis en place un site dédié (info.starwoodhotels.com) et un centre d'appels pour informer les clients. Il compte envoyer des courriels aux personnes concernées à partir de vendredi.
Le site précise que seules les réservations opérées par le biais du réseau Starwood étaient concernées car l'enseigne "Marriott utilise un système de réservation séparé qui est sur un réseau différent".
Le portefeuille hôtelier de Starwood inclut notamment W Hotels, Sheraton Hotels and Resorts, Westin Hotels and Resorts, Le Méridien Hotels and Resorts ou encore Four Points by Sheraton et Design Hotels. Des propriétés de Starwood en multipropriété (timeshare) ont également été exposées. Au moment de la fusion, Starwood était valorisé 13,6 milliards de dollars.
Marriott a indiqué offrir aux personnes affectées un abonnement gratuit pour un an à WebWatcher, un service qui surveille internet pour vérifier si les données personnelles d'un client sont utilisées.
Le groupe compte au total 6.700 propriétés notamment en franchise dans trente chaînes d'hôtels disséminées dans 129 pays. Fin 2017, il gérait 1,25 million de chambres et a engrangé cette année-là un chiffre d'affaires de plus de 22 milliards de dollars.
Pour mémoire
Cybersécurité: l'espionnage soutenu par les Etats gagne du terrain, selon un rapport russe
Cyberattaques : nouvelle confrontation Occident-Russie
Nouvelle crise pour Facebook, avec le piratage de 50 millions de comptes
commentaires (0)
Commenter