Minerva Studio - stock.adobe.com
Brèche : Marriott revoit à la baisse le nombre de clients affectés
Le groupe estime à moins de 400 millions, le nombre de clients de sa chaîne Starwood dont les données ont été compromises par un incident dévoilé fin novembre. Mais plus de 5 millions de numéros de passeports sont concernés.
Il y a un peu plus d’un mois, Marriott International levait le voile sur un incident de sécurité ayant touché la base de données de réservations de sa chaîne hôtelière Starwood. A l’époque, le groupe faisait état d’un demi-milliard de clients concernés par un incident dont l’origine remonte à 2014.
L’enquête a depuis progressé et conduit Marriott à revoir ses estimations à la baisse. Dans un communiqué, le groupe indique désormais avoir « identifié approximativement 383 millions d’enregistrements, comme la limite haute pour le nombre total d’enregistrements clients qui ont été impliqués dans l’incident ». Et de préciser que cela « ne signifie toutefois pas que les informations relatives à 383 millions de clients uniques ont été concernées car, dans de nombreux cas, il apparaît y avoir de multiples enregistrements pour un même client ». Pour autant Marriott International indique ne pas être mesure d’établir la limite basse de la fourchette.
Au passage, le groupe explique « penser qu’environ 5,25 millions de numéros de passeports non chiffrés comptaient parmi les informations obtenues par un tiers non autorisé », aux côtés de 20,3 millions de numéros de passeports chiffrés. Marriott International relève l’absence de preuves d’un accès à la clé maître de chiffrement pour ces derniers, mais ne précise pas l’algorithme employé.
En outre, le groupe indique qu’environ « 8,6 millions de détails de carte de paiement chiffrés ont été impliqués dans l’incident », dont 354 000 n’ayant pas expiré à la date de septembre 2018. Là encore, « pas de preuve » d’accès à la clé maître de chiffrement, mais pas plus de détails sur l’algorithme de chiffrement employé. Accessoirement, Marriott International relève que des numéros de carte bancaire pourraient avoir été stockés en clair dans des champs non dédiés. Ce serait le cas pour moins de 2000, mais le groupe indique continuer d’analyser la base de données concernée à la recherche de tels cas.
Enfin, Marriott International explique avoir migré la gestion des réservations de la chaîne Starwood sur ses systèmes, mettant ainsi précipitamment à la retraite un système patrimonial qui s’est avéré vulnérable.