Marriott, la première chaîne hôtelière du monde, vient d’annoncer par formulaire boursier que la base de données de réservations de sa filiale Starwood a été massivement piratée.

Starwood regroupe les marques: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton et certains Design Hotels.

Le 8 septembre 2018, un de ses outils informatiques a alerté l’entreprise d’une tentative d’intrusion sur la base de données de réservations aux États-Unis. Marriott a alors embauché des experts de premier rang, qui ont découvert des accès non autorisés depuis 2014, ainsi que des informations copiées et chiffrées par une personne non autorisée.

Ces informations ont été déchiffrées le 19 novembre, et l’entreprise a déterminé qu’il s’agissait de contenus tirés de la base de données.

Il s’agirait de près de 500 millions d’entrées de réservation. Pour 327 millions d’entre elles, les informations incluent des combinaisons des nom, adresse postale, numéro de téléphone, adresse de courriel, numéro de passeport, informations liées au programme de fidélité Starwood Preferred Guest, date de naissance, sexe, informations d’arrivée et de départ, date de réservation, préférences de communication.

Certaines entrées incluent des informations de carte de paiement, préalablement chiffrées. Marriott n’est pas encore en mesure d’affirmer si les pirates ont obtenu les composants nécessaires au déchiffrement.

Pour les autres entrées, il ne s’agit que du nom, et parfois de l’adresse.

Marriott prie ses clients de bien vouloir l’excuser. Elle a alerté les forces de l’ordre et commencé à notifier les autorités de régulation.

Un site est dédié aux clients : info.starwoodhotels.com et le centre d’appels peut répondre à leurs questions. L’entreprise va notifier par courriel tout client dont le courriel était dans la base de données.

Marriott offre à ses hôtes un an d’abonnement à WebWatcher, dans les pays où il est autorisé, un service qui piste où les informations personnelles sont partagées et alertent le consommateur si ses informations personnelles sont trouvées.

Comme des victimes du Royaume-Uni sont concernées, et sans doute de France, d’Espagne, d’Italie, d’Allemagne et du Portugal (une sélection de langues disponibles pour les informations sur l’incident), le Règlement Général sur la Protection des Données s’applique. S’il est déterminé que Marriott n’a pas respecté la régulation, elle pourrait recevoir une amende allant jusqu’à 4 % de son chiffre d’affaires.