Le système de réservation de sa filiale Starwood a été piraté, et jusqu’à 500 millions de clients pourraient être concernés.

Lorsque le groupe hôtelier Marriott a absorbé son concurrent Starwood, à l’automne 2016, il s’est hissé au rang de premier groupe hôtelier du monde, reléguant ses principaux concurrents à bonne distance. Il ne se doutait pas qu’il venait également de faire l’acquisition d’un épineux problème informatique.

Deux ans plus tard, le géant américain a annoncé, vendredi 30 novembre, que le système de réservation de Starwood avait été piraté. Il s’agit d’un incident d’une ampleur rare dans l’histoire des fuites de données. Le piratage a en effet rendu accessibles pendant quatre ans les données de centaines de millions de clients. Entre 2014 et septembre 2018, les pirates avaient en effet accès à une base de données contenant des données personnelles de « 500 millions de clients qui ont fait une réservation » dans un des hôtels de l’entreprise Starwood. Cette dernière possède notamment les marques Westin, Sheraton, W Hotels ou Le Méridien.

Interrogée, l’entreprise ne précise pas clairement si 500 millions de clients différents sont concernés par le piratage, ou s’il s’agit des données concernées par les 500 millions de réservations évoquées. Elle n’explique pas non plus précisément si des données ont été effectivement téléchargées depuis la base de données par les pirates, seulement que cette dernière a été visitée. Les experts informatiques mandatés par Marriott ont cependant repéré des traces laissant à penser que les pirates avaient effectué plusieurs opérations préalables à un vaste cambriolage numérique.

Il n’en reste pas moins que tous les clients ayant effectué une réservation dans des hôtels de la marque Starwood jusqu’au 10 septembre dernier inclus sont concernés par cette fuite. L’entreprise affirme avoir commencé à les contacter.

Des données très précises

Selon le groupe, 327 millions de clients ont vu exposées tout ou partie de leurs données à la fois précises et sensibles : leur nom, leur adresse postale, leur numéro de téléphone, leur adresse e-mail, leur numéro de passeport, de programme de fidélité, leur date de naissance, leur genre ainsi que les dates d’arrivée et de départ de l’hôtel.

Les pirates ont également pu lire les données de cartes bancaires de certains d’entre eux. Elles étaient protégées par du chiffrement, un mécanisme censé les rendre illisibles, mais Marriott « n’exclut pas »que les pirates aient récupéré les éléments leur permettant d’obtenir des numéros de cartes bancaires utilisables. Pour le reste des clients touchés, seuls les noms, et dans certains cas l’adresse e-mail ou postale ont été compromis.

Ces données, parfois très sensibles, peuvent être utilisées par des pirates pour de l’usurpation d’identité ou de l’escroquerie. Au surplus, pour certaines populations (cadres d’entreprise, membres de services de renseignement, diplomates, hommes et femmes politiques…), les données compromises peuvent être extrêmement révélatrices.

Les « regrets » du PDG

« Nous regrettons profondément cet incident. Nous n’avons pas été à la hauteur de ce que méritent nos clients. Nous faisons tout notre possible pour les soutenir », a déclaré le PDG de Marriott, Arne Sorenson. L’entreprise a mis en place un centre d’appel et un site d’information pour répondre aux inquiétudes de ses clients.

Marriott, dont le siège est situé aux Etats-Unis, dit avoir « averti les forces de l’ordre » et « commencé à notifier les autorités de régulation ». C’est surtout en Europe que le géant de l’hôtellerie pourrait affronter le gros de la tempête : le nouveau cadre légal de protection des données personnelles, entré en vigueur en mai dernier, expose l’entreprise à de très importantes amendes – jusqu’à 4 % du chiffre d’affaires – s’il s’avère que le groupe a fait preuve de négligence vis-à-vis des données de ses clients.

Ce nouveau cadre oblige aussi l’entreprise à informer les autorités européennes de protection des données, ainsi que les clients européens concernés. « Il s’agit d’un incident global, nous ne fournissons pas de détail à ce stade », a répondu une porte-parole, interrogée par Le Monde, pour savoir combien d’Européens et de Français figuraient parmi les clients concernés.

Les poursuites ne viendront pas seulement d’Europe : le procureur général de l’Etat de New York a ouvert une enquête sur l’incident. A la Bourse de New York, le cours de l’entreprise perdait, vendredi en fin d’après-midi, plus de 5 %.

Contactée par l’Agence France-Presse (AFP), la police fédérale américaine a expliqué en être « informée » et « suivre la situation ». Et le FBI d’inviter les « personnes contactées par la société » à « signaler » toute suspicion d’usurpation d’identité au centre de plaintes de l’agence fédérale réservé aux crimes commis sur internet.