Marriott a révélé aujourd’hui que sa base de données de réservations Starwood avait été victime d’un accès non autorisé “depuis 2014”. La portée de cette violation de données est énorme, car elle s’étale sur près de cinq ans et porte sur environ 500 millions de clients.
L’entreprise a créé un site web pour gérer cette violation, disponible à l’adresse suivante : info.starwoodhotels.com (notez qu’au moment de la rédaction de cet article, celle-ci est redirigée vers answers.kroll.com).
Qui est concerné ?
L’entreprise vous avertit que si vous avez fait une réservation auprès d’une de ses marques Starwood au cours des cinq dernières années, alors vous courez un risque :
Si vous avez effectué une réservation le 10 septembre 2018 au plus tard dans un établissement Starwood, les informations que vous avez fournies peuvent avoir été compromises.
Selon Marriott, ses marques Starwood comprennent : les multipropriétés de marque Starwood, W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels , Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton et Design Hotels.
Quelles données sont concernées ?
Il semble que différents clients puissent être exposés à des niveaux différents, en fonction de la quantité de données qu’ils ont partagée. Tant que vous n’aurez pas confirmé votre niveau de compromission avec Marriott, vous devez vous attendre au pire.
Les informations mises en danger par cette violation de données incluent “une combinaison des éléments suivants” : nom, adresse postale, numéro de téléphone, adresse email, numéro de passeport, détails de compte Starwood Preferred Guest (“SPG”), date de naissance, sexe, informations sur l’arrivée et le départ, date de réservation, préférences de communication, numéros et dates d’expiration des cartes de paiement.
Bien que les numéros de carte de paiement aient été chiffrés, les cybercriminels ont peut-être également volé les données nécessaires à leur déchiffrement.
Que s’est-il réellement passé ?
Marriott n’a pas communiqué davantage sur les événements ou les défaillances de sécurité qui sont en cause (l’entreprise l’ignore peut-être d’ailleurs encore), mais elle a publié des détails sur la manière dont elle a découvert cette violation de données.
L’entreprise a déclaré que le 8 septembre 2018, elle avait été alertée d’une tentative non autorisée d’accès à la base de données de réservations Starwood. Des experts en sécurité convoqués pour faire face à l’incident ont révélé que l’accès non autorisé au réseau Starwood avait commencé dès 2014, deux ans avant l’acquisition de Starwood par Marriott.
Le 19 novembre 2018, Marriott a appris qu’une récente tentative de chiffrement et d’exfiltration de données du réseau incluait des éléments de la base de données de réservation clients Starwood.
Comme vous pouvez le constater, à la vue des dernières révélations faites par Marriott, il peut être difficile pour toutes les personnes concernées de faire la différence entre des données en danger et des données véritablement volées.
Jusqu’à ce qu’elles puissent confirmer le contraire, par prudence les victimes doivent partir du principe que ces deux risques sont identiques et bien réels.
Quoi faire ?
Site web et centres d’appels
Si vous pensez être concerné, consultez régulièrement le site web officiel mis en place dans le cadre de cette violation, et en particulier les questions fréquemment posées. N’oubliez pas qu’il est probable que Marriott en apprenne toujours plus sur cette faille et s’adapte en temps réel à la situation dans laquelle l’entreprise se trouve.
Marriott a annoncé la mise en place d’un centre d’appels multilingue dédié, ouvert sept jours sur sept. Vous pouvez trouver le numéro de votre centre d’appels local en cliquant sur le lien Call Centre Information, bien mis en évidence, et situé sur la page principale du site web concernant cette violation.
Emails
Marriott a commencé à envoyer des emails aux clients concernés dont les adresses électroniques figuraient dans la base de données volée. Cela représente une opportunité rêvée pour lancer des scams par email. Par conséquent, l’entreprise a clairement défini certaines règles pour vous aider à déterminer si un email est authentique :
- L’email viendra de starwoodhotels@email-marriott.com.
- Il ne contiendra pas de pièces jointes ni de demandes d’informations.
- Il proposera uniquement un lien vers le site officiel.
La surveillance du web
Aux États-Unis, au Royaume-Uni et au Canada, Marriott offre aux victimes un abonnement gratuit d’un an à une prestation appelée WebWatcher, qui est décrite comme un service de surveillance des “sites Internet où des données personnelles sont partagées”.
Ne le cherchez pas sur Google. En effet, si vous le faites vous ne trouvez pas le service de surveillance WebWatcher, vous trouverez à la place de nombreux liens vers des spywares du même nom. Ne vous inscrivez nulle part !
Suivez les liens vers les versions, du site officiel concernant cette faille, dédiées à votre pays. Vous ne pouvez pas vous inscrire à cette surveillance depuis la page principale du site dédié, vous devez accéder aux versions similaires de cette page qui sont consacrées aux États-Unis, au Royaume-Uni ou au Canada.
Sur ces pages, vous trouverez les numéros de téléphone des centres d’appels locaux et de larges boutons Enroll Now (gris et étonnamment faciles à manquer). Ils établissent un lien vers un formulaire d’inscription au service de surveillance des identités de Kroll et se présentent comme suit :
Les précautions à prendre
- Passez en revue vos comptes. Examinez les activités suspectes au niveau de votre compte bancaire ou de votre carte de paiement. Si vous êtes membre du programme Starwood Preferred Guests de Mariott, surveillez votre compte SPG à la recherche d’activités suspectes.
- Méfiez-vous des scams. Les cybercriminels peuvent chercher à exploiter l’angoisse des victimes avec de faux sites web ou des emails de phishing, des messages et des appels téléphoniques. Ces arnaques pourront vous sembler très crédibles. Ne cliquez sur aucun lien et vérifiez toutes les données que vous trouverez en vous rendant directement sur le site officiel dédiée à cette violation ou en appelant les numéros officiels du centre d’appels.
- Signalez un éventuel vol d’identité. Si vous pensez avoir été victime d’un vol d’identité ou si vos informations volées ont été utilisées de manière malveillante, contactez votre autorité nationale de protection des données ou les forces de l’ordre locales.
- Modifiez votre mot de passe si vous possédez un compte Starwood Guest. Si vous avez utilisé le même mot de passe sur d’autres sites web ou services, modifiez-les également. Choisissez des mots de passe différents et forts pour chacun des sites ou services utilisés.
Billet inspiré de Marriott’s massive data breach – here’s what you need to know, sur Sophos nakedsecurity.