Vous vous souvenez de la fuite de données dans la chaîne d’hôtels Marriott qui a touché 500 millions de clients ? Ce chiffre a été revu à la baisse : dans une note publiée ce vendredi (4), la société affirme que, en fait, les données de “seulement” 383 millions d’invités ont fini entre les mains d’autres personnes. Mais au milieu de tout cela, il y a 5,25 millions de numéros de passeport.
Marriott possède actuellement des hôtels dans près de 130 pays et contrôle des chaînes telles que Sheraton, Four Points, W Hotels, Westin et Le Méridien. En 2016, la société a acheté la chaîne d’hôtels Starwood après avoir déboursé 13,6 milliards de euros.
C’est précisément à Starwood que les problèmes ont commencé. Une enquête conclue en novembre 2018 a révélé que la base de données de la chaîne d’hôtels avait été consultée de manière abusive depuis 2014 ? c’est-à-dire que les attaques ont commencé avant la fusion avec Marriott.
Lorsque le sujet a été abordé, on savait quels numéros de passeport figuraient parmi les données divulguées, mais on ne savait pas exactement à quel point. Les enquêtes se sont poursuivies et on sait maintenant que 25,55 millions de personnes ont été capturées lors des invasions des stocks de Starwood.
Heureusement, si ce mot peut être utilisé ici, c’est que seuls 5,25 millions de numéros de passeport ont été stockés en texte clair, sans cryptage. Les données de 8,6 millions de cartes de crédit ont également été saisies, mais seulement 354 000 étaient actives au moment de l’invasion.
La principale préoccupation est donc le numéro de passeport. Ces informations facilitent la création de faux documents ou l’usurpation d’identité, et peuvent également être utilisées par les services de renseignement pour traquer les autorités ou les hauts fonctionnaires, par exemple.
Au moins, le mal a été étouffé dans l’œuf : Marriott dit avoir déjà désactivé le système de réserve de Starwood et n’utilise plus que sa propre base de données, qui n’a pas été touchée par les invasions.