Les hôtels Marriott punis d’une amende de 20 millions d’euros pour ne pas avoir protégé leurs données clients

L’autorité britannique de la protection de la vie privée ICO (Information Commissionner’s office) inflige une amende de 20 millions d’euros (18,4 millions de livres) à la chaîne hôtelière Marriott International Inc pour ne pas avoir protégé les données personnelles de ses clients.

Une attaque qui a touché 339 millions d’enregistrements clients

La chaîne Marriott estime que les données de 339 millions d’enregistrements clients dans le monde ont été affectées à la suite d’une cyberattaque en 2014 contre Starwood Hotels and Resorts Worldwide Inc. L’attaque, d’une source inconnue, est restée non détectée jusqu’en septembre 2018, date à laquelle la société avait été rachetée par Marriott. 

Les données personnelles impliquées différaient selon les individus, mais pouvaient inclure des noms, des adresses e-mail, des numéros de téléphone, des numéros de passeport non cryptés, des informations d’arrivée ou de départ, le statut VIP des clients et le numéro d’adhésion au programme de fidélité. Le nombre précis de personnes touchées n’est pas clair car il peut y avoir eu plusieurs enregistrements pour un client individuel. Sur la Grande Bretagne, l’ICO évoque 7 millions de clients touchés.

L’ICO considère que Marriott n’avait pas mis en place des mesures techniques ou organisationnelles appropriées pour protéger les données personnelles traitées sur ses systèmes, comme l’exige le règlement général sur la protection des données (RGPD). L’enquête de l’ICO a retracé la cyberattaque en remontant jusqu’en 2014, mais la sanction ne concerne que la violation du 25 mai 2018, lorsque les nouvelles règles du RGPD sont entrées en vigueur. Étant donné que la violation s’est produite avant que le Royaume-Uni ne quitte l’Union Européenne (UE), l’ICO a enquêté au nom de toutes les autorités de protection de données de l’UE en tant qu’autorité de surveillance principale en vertu du RGPD. La sanction et l’action ont été approuvées par les autres autorités de protection de l’UE dans le cadre du processus de coopération du RGPD.

Un morceau de code « shell web» installé sur un terminal

En 2014, un attaquant inconnu a installé un morceau de code connu sous le nom de « shell web» sur un terminal du système des hôtels Starwood, lui donnant la possibilité d’accéder et de modifier le contenu de cet appareil à distance. Cet accès a été exploité afin d’installer des logiciels malveillants, permettant à l’attaquant d’avoir un accès à distance au système en tant qu’utilisateur privilégié. En conséquence, l’attaquant aurait eu un accès illimité à l’appareil concerné et aux autres appareils du réseau auxquels ce compte aurait eu accès.

D’autres outils ont été installés par l’attaquant pour collecter les informations de connexion d’utilisateurs supplémentaires au sein du réseau Starwood. Avec ces informations d’identification, l’attaquant a accédé et exporté la base de données stockant les données de réservation pour les clients de Starwood. L’ICO reconnaît que Marriott a agi rapidement pour contacter ses clients et l’ICO. Il a également agi rapidement pour atténuer les risques de dommages subis par les clients et a depuis mis en place un certain nombre de mesures pour améliorer la sécurité de ses systèmes.

Marriott international déclare qu’il ne fera pas appel de la décision de l’ICO et considère qu’elle met fin à l’enquête britannique et européenne concernant la fuite de la base de données des réservations des hôtels Starwood rapportée par Marriott en novembre 2018. Marriott insiste sur le fait que la fuite de données ne concernait que le réseau séparé des hôtels Starwood, qui n’est plus utilisé.