La chaîne d’hôtels de luxe américaine Marriott a été victime d’un piratage sans précédent. Les informations personnelles de 500 millions de clients ont été dérobées dans une base de données d’une des filiales de l’entreprise.

C’est l’un des vols de données personnelles les plus importants de l’histoire de l’informatique depuis celui des informations liées à trois milliards de comptes Yahoo! en août 2013. Tel qu’annoncé dans un communiqué vendredi dernier, la chaîne Marriott a été victime d’une attaque menée par un groupe de hackers encore non identifiés au cours de laquelle les informations d’un demi-milliard de clients ont été extraites.

Les pirates ont réussi à accéder à une base de données dédiée aux réservations des clients de la chaîne via le réseau de Starwood. Cette enseigne n’est qu’une des filiales de l’immense groupe hôtelier que représente Marriott. Néanmoins, elle a permis aux malfaiteurs d’accéder aux données de clients qui ont effectué des réservations dans les différentes marques du groupe américain.

L’attaque a visé les établissements W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton et Design Hotels.

Des données bancaires dérobées

Marriott indique que “pour environ 327 millions de ces invités, les données comprennent la combinaison de nom, adresse postale, numéro de téléphone, adresse électronique, numéro de passeport, renseignements sur le compte Starwood Preferred Guest, date de naissance, sexe, date d’arrivée et de départ, date de réservation et préférences de communication“.

Pour d’autres, dont le nombre est inconnu, les numéros et dates d’expiration des cartes de paiements ont pu être dérobés mais le groupe précise que “les numéros des cartes de paiement ont été cryptés à l’aide du cryptage Advanced Encryption Standard (AES-128)“. Il n’est toutefois pas impossible de déchiffrer ces numéros : deux éléments de sécurité supplémentaires sont nécessaires pour y parvenir mais Marriott ne peut affirmer qu’ils n’ont pas également été volés.

Le groupe informe ses clients

Face à cet état de crise, la chaîne hôtelière a ouvert un site dédié à répondre aux questions les plus fréquentes de ses clients. Un centre d’appel a été mis à disposition des clients qui ont effectué une réservation ces quatre dernières années au sein des hôtels concernés par l’attaque. Les clients affectés seront contactés par e-mail.

Quant à elle, la source de l’attaque reste inconnue. Marriott indique qu’un “accès non autorisé” avait eu lieu le 10 septembre au plus tard. Le groupe hôtelier a annoncé sa collaboration à l’enquête. Suite à la mise en place du RGPD, la chaîne risque une très forte amende si des clients européens ont été touchés par cette attaque, jusqu’à 4% de son chiffre d’affaires mondial.