Si vous vous intéressez à la cybersécurité, à la protection des données ou à l'hébergement dans des hôtels, vous avez probablement entendu dire que Marriott International - l'une des plus grandes chaînes hôtelières du monde - a annoncé la semaine dernière une énorme violation de données comprises dans la base de données de réservation Starwood. D'après un article du Washington Post sur la brèche « les informations personnelles de 500 millions d'invités auraient pu être volées ». L'une des raisons pour lesquelles le nombre est si élevé est que la marque Starwood englobe de nombreuses propriétés différentes, dont Sheraton, Westin, Le Méridien, Aloft, The Luxury Collection, et W Hotels. Une autre raison est que, selon les responsables de l'entreprise, une tierce partie non autorisée avait accédé à la base de données depuis 2014.

Le site Web officiel de Starwood fournissant des informations sur cette brèche est hébergé par Kroll, une société possédant une vaste expérience dans la réponse aux incidents de sécurité : https://answers.kroll.com. Voici une liste décrivant les informations compromises annoncées jusqu'à présent :

  1. Pour 327 millions d'invités, une combinaison de leurs : nom, adresse postale, numéro de téléphone, adresse électronique, numéro de passeport, informations sur le compte Starwood Preferred Guest (SPG), date de naissance, sexe, informations d'arrivée et de départ, dates de réservation et préférences de communication.
  2. Pour un sous-ensemble de ces 327 millions : les numéros de cartes de paiement et les dates d'expiration des cartes de paiement. Notez que les numéros de cartes étaient chiffrées à l'aide de l'AES-128, ce qui est assez fort, mais Marriott n'a pas encore exclu la possibilité que les criminels aient obtenu ce dont ils avaient besoin pour décoder ces numéros des cartes.
  3. Pour les autres clients, les données exposées se limitent à leur nom et parfois à d'autres données comme l'adresse postale, l'adresse électronique ou d'autres informations.

En gardant ces informations à l'esprit, voici cinq mesures défensives que vous devriez prendre maintenant si vous avez réservé une chambre ou avez été hébergé par l’une des propriétés de Starwood/Marriott au cours des quatre dernières années.

  1. Modifier votre mot de passe

L'une des premières - et des plus simples - choses à faire à la lumière de cette brèche est de changer le mot de passe de vos comptes Marriott/SPG (qui sont en train d'être combinés). Nous espérons que vous n'avez pas utilisé les mots de passe de ces comptes sur d'autres comptes. Mais si c'est le cas, vous devriez également le mot de passe sur ces autres comptes.

  1. Vérifiez vos comptes pour déceler toute activité suspecte

Soyez particulièrement vigilant lors du contrôle des transactions sur les cartes de paiement et sur vos comptes Marriott et SPG. Si vous constatez une activité de paiement que vous ne reconnaissez pas, il est important que vous en informiez immédiatement la banque émettrice de votre carte. Si vous remarquez une activité inhabituelle ou frauduleuse sur votre compte Marriott ou SPG, vous devriez communiquer directement avec eux.  Nous vous conseillons également de surveiller de plus près vos autres comptes financiers (comme vos comptes de retraite ou de courtage), ainsi que votre dossier de crédit.

Gardez à l'esprit que les voleurs ne peuvent pas utiliser ou vendre toutes les données volées immédiatement. Vous devriez donc demeurer particulièrement vigilant avec vos comptes pendant un certain temps.

  1. Envisagez un gel du crédit

Bien que le gel de votre crédit constitue un obstacle lorsque vous désirez permettre à quelqu'un d'accéder à votre dossier de crédit (comme lorsque vous appliquez pour une nouvelle carte bancaire, un prêt, un appartement ou un emploi), il augmente également la difficulté pour les voleurs de créer de nouveaux comptes en utilisant vos renseignements. En raison d'un changement récent dans les lois concernant les frais pour les gels de crédit et les alertes à la fraude, ceux-ci peuvent maintenant être placés gratuitement aux États-Unis. Informez-vous sur la législation en vigueur dans votre juridiction, s’il y a lieu.

Si vous décidez de ne pas geler votre crédit, vous voudrez peut-être ajouter une alerte à la fraude dans vos dossiers. Une alerte à la fraude avertit les créanciers que vous pourriez être victime d'un vol d'identité et qu'ils devraient prendre des mesures supplémentaires pour vérifier que vous êtes bien la personne qui demande du crédit en votre nom.

  1. Améliorez votre sécurité de connexion

Avec toute l'information qui est maintenant à la disposition des voleurs suite à cette brèche et d'autres brèches récentes (en particulier celle d'Equifax), les criminels peuvent essayer de combiner les données pour accéder à d'autres comptes et services en ligne. C'est toujours une bonne idée de vous assurer d'avoir des mots de passe forts et uniques pour chaque compte que vous utilisez. Si vous n'avez pas encore activé l'authentification à deux facteurs partout où elle est disponible, c'est le moment idéal pour vous assurer de l'avoir en place.

Marriott est l'un des premiers comptes de fidélisation à intégrer l'authentification à deux facteurs dans son processus de connexion. Comme ils n'ont fusionné que récemment avec SPG, la séparation des deux programmes de fidélisation explique pourquoi les avertissements se concentrent principalement sur les comptes SPG. Il est à espérer que cette brèche aura pour effet d'accélérer le processus de fusion des deux programmes, afin d'améliorer la sécurité à l'avenir.

  1. Méfiez-vous des escroqueries

Les criminels savent que les gens seront particulièrement inquiets pour leur sécurité à la suite de cet incident. Paradoxalement, certaines personnes sont plus susceptibles de tomber dans le piège des tactiques d'ingénierie sociale et des stratagèmes d'hameçonnage qui s'attaquent à cette peur. Ne cliquez jamais sur les liens dans les courriels censés provenir d'entreprises qui utilisent cette brèche comme un angle, surtout si elles semblent suspectes d'une façon ou d'une autre. C'est une bonne idée, surtout après des événements de sécurité majeurs et d'autres crises, de considérer tout lien dans un courriel non sollicité comme étant potentiellement malveillant. Au lieu de cela, vous devriez taper les URLs que vous savez être authentiques dans votre navigateur directement si vous avez besoin de contacter des entreprises.

Que pouvons-nous dire d'autre?

Selon la plupart des indicateurs, la brèche de Marriott Starwood est l'un des plus grands incidents de sécurité des données jamais signalés. En termes de nombre de personnes touchées (500 millions), il semblerait qu'il se classe au deuxième rang après le Yahoo (3 milliards). En comparaison, l'incident de la cible de 2013 a touché 70 millions de personnes, dont 40 millions ont été victimes du vol de données de cartes de paiement.

En ce qui concerne les données compromises, il semble que tous les dossiers Starwood violés ne contenaient pas d'informations sur les cartes de paiement et, heureusement, aucun ne contenait de numéros de sécurité sociale. D'autre part, certains détails de passeport ont été révélés, ce qui est inhabituel, et la présence persistante d'agresseurs dans le système - depuis 2014 - soulève la possibilité que des modèles de voyage et d'autres renseignements précieux sur les invités Starwood ont été glanés, ce qui serait une différence significative par rapport aux infractions dans des secteurs tels que la banque ou la vente au détail.

De toute évidence, cette brèche a de graves répercussions négatives pour Marriott et Starwood, non seulement en raison de son ampleur, mais aussi parce qu'elle semble ne pas avoir été détectée lors de l'acquisition de Starwood Hotels and Resorts par Marriott International en 2015, au coût de 13,6 milliards $. Selon Stephen Cobb, chercheur de l'ESET, toutes les marques impliquées peuvent maintenant s'attendre à subir des atteintes coûteuses à leur réputation, ainsi que de multiples formes de poursuites judiciaires : « Il y aura des recours collectifs intentés par des clients et des actionnaires, ainsi que des enquêtes potentiellement préjudiciables par tout le monde, des procureurs généraux des États américains aux autorités de protection des données de l'UE; n'oubliez pas que c'est la plus grande violation que nous avons vue depuis l'entrée en vigueur du GDPR. »