Les données – comprenant des numéros de cartes bancaires – de 500 millions de clients des chaines d’hôtels Starwood, appartenant au groupe Marriott, ont été compromises. Si l’alerte remonte au 8 septembre 2018, le fait que la divulgation publique a eu lieu seulement le 19 novembre met le groupe en délicatesse par rapport au RGPD.
Les données de 500 millions de clients des chaines d’hôtels Starwood – comprenant notamment les luxueux Sheraton comme ici celui de Macao – rachetées par Marriott en 2016, ont été exposées à un piratage. (Crédit : D.R.)
Passé numéro 1 mondial du secteur hôtelier en 2016 avec le rachat de Starwood (Sheraton, Merdien, The Luxury Collection…), le groupe Marriott fait aujourd’hui face à un incident de sécurité majeur. Ce dernier a en effet annoncé que sa base de données de réservation avait été piratée, cette dernière comprenant des informations relatives à près de 500 millions de clients. Pour environ 327 millions d’entre eux, les informations incluent notamment des noms, adresses mails, adresses postales, numéros de téléphones, e-mails, numéros de passeport et dates de naissance.
Mais ce n’est pas tout car des données de cartes bancaires – chiffrées en AES-128 bits – ainsi que des dates d’expiration font aussi partie du lot. « Deux composants sont nécessaires pour décrypter les numéros de carte de paiement et, pour l’instant, Marriott n’a pas été en mesure d’exclure la possibilité que les deux aient été volés », a prévenu le groupe dans un communiqué.
Un risque d’amende en raison du RGPD
« Le 8 septembre 2018, Marriott a reçu une alerte d’un outil de sécurité interne concernant une tentative d’accès à la base de données de réservations Starwood aux États-Unis. Marriott a rapidement engagé des experts en sécurité pour aider à déterminer ce qui se passait. Au cours de l’enquête, Marriott a appris qu’un accès non autorisé au réseau Starwood avait eu lieu depuis 2014. La société a récemment découvert qu’un tiers non autorisé avait copié et crypté des informations et avait pris des mesures pour les supprimer. Le 19 novembre 2018, Marriott a été en mesure de déchiffrer les informations et a déterminé que le contenu provenait de la base de données de réservations Starwood ».
« Si les dates sont avérées, entre la date de détection initiale, soit le 8 septembre 2018, et la divulgation publique de la faille, l’exigence de notification du RGPD de 72h a été très loin d’être respectée.
Conformément au Règlement, la marque s’expose également à une très forte amende… La fameuse double-peine du RGPD », a averti Grégory Cardiet, expert sur les questions de cybersécurité, ingénieur avant-ventes chez Vectra.