Jusqu’à 500 millions de clients de Marriott piratés
Le géant mondial de l’hôtellerie Marriott — propriétaire d’enseignes comme Sheraton, Westin, Starwood et Marriott — a annoncé vendredi le piratage d’une base de données pouvant contenir les informations d’environ 500 millions de clients, précisant qu’une enquête interne avait révélé des « accès non autorisés » depuis 2014.
Le groupe américain, dont le siège se trouve au Maryland, a indiqué dans un communiqué avoir reçu un signalement interne le 8 septembre 2018 concernant une tentative d’accès à un vaste fichier de réservations aux États-Unis. Son enquête a révélé qu’un « tiers non autorisé » avait « copié et crypté des informations, et avait entrepris des opérations pour les retirer ».
« Nous regrettons profondément cet incident. Depuis le début, nous avons agi rapidement pour limiter cet incident et mener une enquête approfondie avec l’assistance d’experts en sécurité de premier plan », a indiqué Arne Sorenson, patron de Marriott, cité dans le communiqué. « Nous faisons tout notre possible pour soutenir nos clients. » « Nous allouons toutes les ressources nécessaires pour éliminer les systèmes Starwood et accélérer le renforcement en cours de la sécurité de notre réseau », a-t-il souligné.
Marriott a fait savoir qu’elle devait commencer, dès vendredi, à prévenir, par courriel électronique, les personnes susceptibles d’être concernées par cette faille de sécurité.
Les forces de l’ordre ont ouvert une enquête avec laquelle Marriott coopère, et les autorités de régulation ont été prévenues.
Le groupe Marriott, qui a fusionné en 2016 avec l’américain Starwood, devenant alors le premier groupe hôtelier mondial, dit ne pas avoir fini d’identifier les informations ayant été dupliquées. Elles peuvent concerner des réservations effectuées jusqu’au 10 septembre 2018 compris. Il a relevé que, pour environ 327 millions de clients sur les quelque 500 millions qui figureraient dans la base de données visée, les informations incluent noms, adresses postale et électronique, numéros de téléphone et de passeport, date de naissance, sexe ou encore détails sur le compte Starwood Preferred Guest (SPG), une carte haut de gamme lancée récemment par l’émetteur de cartes de crédit American Express destinée aux voyageurs réguliers. Pour certaines de ces personnes, le numéro de carte bancaire et sa date d’expiration sont également concernés, mais Marriott n’est pas en mesure à ce stade d’indiquer si le ou les intrus sont parvenus à passer outre les protections de cryptage propres à SPG.
Pour les millions d’autres clients, les informations à risque ne comportent que le nom et, parfois, d’autres détails, comme les adresses électronique et postale.
Ce serait le plus important piratage connu de données privées depuis celui de Yahoo ! en 2013, lorsque l’ensemble de ses trois milliards de comptes utilisateurs avaient été affectés.
« Une violation importante des données pendant quatre ans », ont relevé les analystes de Cowen, estimant que le fait que seul le système Starwood soit touché et que le groupe ait agi de façon « assez rapide » devrait permettre de « limiter les dégâts ».
L’entreprise, établie au Maryland, gère plus de 6700 établissements à travers le monde, mais la plupart se trouvent en Amérique du Nord. Marriott a mis sur pied un site Web et un centre d’appels pour toutes les personnes craignant d’être concernées par la faille de sécurité.
Avec Associated Press
Avant Marriott, d’autres piratages massifs de données personnelles
Le piratage annoncé vendredi s’inscrit parmi les cyberattaques visant des données personnelles les plus spectaculaires de ces dernières années.
Yahoo! dans la tourmente
Yahoo! est touché en 2013 par la cyberattaque la plus importante de l’histoire. L’ensemble de ses trois milliards de comptes utilisateurs est affecté.
Révélée en décembre 2016, l’ampleur du piratage, d’abord estimé à un milliard de comptes, est revue à la hausse en octobre 2017. Mais il ne concerne pas les mots de passe et les coordonnées bancaires, assure le groupe américain.
L’affaire met en péril le rachat du cœur de métier de Yahoo! par le géant américain des télécoms Verizon, qui obtient finalement de payer moins cher.
Le gendarme américain de la Bourse infligera en avril 2018 une amende de 35 millions de dollars à Altaba (ex-Yahoo!) pour avoir dissimulé le piratage.
Equifax perd tout crédit
En septembre 2017, l’agence de crédit américaine Equifax, qui collecte des données personnelles de consommateurs sollicitant un crédit, révèle le piratage de données sensibles de plus de 147 millions d’Américains, en plus de clients canadiens et britanniques.
L’entreprise, vilipendée sur les réseaux sociaux, attaquée en justice et ciblée par une enquête parlementaire, est au centre de toutes les critiques : la faille avait été identifiée, mais non corrigée, les systèmes de sécurité étaient insuffisants et la fuite révélée à retardement.
Panique en Corée du Sud
En janvier 2014, plus de deux millions de Sud-Coréens annulent leurs moyens de paiement électronique de peur de voir leur compte bancaire « siphonné », après la révélation du vol des données de 20 millions de cartes de crédit sur plusieurs années.
Un employé d’une société d’étude de solvabilité, le Korea Credit Bureau (KCB), volait les informations personnelles de clients d’entreprises émettrices de cartes de crédit et les vendait à des sociétés de marketing téléphonique.
Ashley Madison : le plus chaud
En août 2015, un groupe de pirates informatiques publie 30 gigaoctets de données clients du site canadien de rencontres adultères Ashley Madison contenant les noms, courriels, voire les préférences sexuelles d’utilisateurs.
Les révélations tournent au tragique avec le suicide d’inscrits aux États-Unis et au Canada, poussant le patron du site à quitter ses fonctions. Ashley Madison était déjà en difficulté avant le piratage pour publicité mensongère : le site proposait d’effacer les données d’utilisateurs moyennant 19 dollars, mais ne le faisait pas.
Les pirates obtiennent l’argent d’Uber
En novembre 2017, le p.-d.g. d’Uber révèle que les données de 57 millions d’utilisateurs à travers le monde, dont celles de 600 000 chauffeurs, ont été piratées fin 2016. Les noms, adresses électroniques et numéros de téléphone mobile ont été subtilisés, ainsi que les numéros de permis de conduire pour les chauffeurs.
Rapidement informée par les pirates eux-mêmes, la plateforme américaine de réservation de voitures avec chauffeur leur avait alors donné 100 000 $ pour qu’ils ne le révèlent pas et qu’ils effacent les données dérobées.
Cette tentative de dissimulation vaudra à Uber une amende de 148 millions de dollars aux États-Unis et deux condamnations aux Pays-Bas et au Royaume-Uni.
Facebook au pilori
Des pirates informatiques profitent en septembre 2018 d’une faille de sécurité pour dérober les données personnelles de 29 millions d’usagers de Facebook.
Les pirates ont accédé à leurs noms, adresses électroniques et numéros de téléphone, voire, pour certains, à leur situation amoureuse ou à leur lieu d’habitation.
Cette affaire relance les critiques envers Facebook, après l’utilisation indue par la société Cambridge Analytica de données de quelque 50 millions d’utilisateurs du réseau social.
Main basse sur l’héritage
En juin 2018, l’entreprise israélienne MyHeritage, spécialisée dans la recherche généalogique via l’ADN, annonce avoir été victime d’un piratage susceptible d’avoir mis en péril les adresses courriel et mots de passe de plus de 92 millions d’utilisateurs.
En revanche, selon l’entreprise, les arbres généalogiques et les ADN n’ont pas été compromis.
Une faille dans l’armure
MyFitnessPal, application de l’équipementier sportif américain Under Armour, est victime d’un piratage informatique en février 2018, portant sur le vol de données de 150 millions d’utilisateurs. Les données volées comprennent les noms des utilisateurs, leurs courriels et les protections associées aux mots de passe.