Situation : 
Le Marriott a annoncé hier qu’ils ont découvert brèche de sécurité entrainant un vol de donnée de plus de 500 millions de clients (devenant la deuxième plus grande brèche du monde derrière Yahoo). Le groupe Marriott inclut les hotels W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton, et Design Hotels. Les données volées inclus, pour 327 millions des victimes, nom complet, adresse physique, numéro de téléphone, email, « Starwood Preferred Guest account information », année de naissance, sexe, date de séjour et le numéro de passeport (et peut-être aussi des informations de paiement.). L’accès non autorisé à la base de données daterait déjà depuis 2014.

Analyse : 
Pour l’instant, il n’y a que très peu d’information. On ne sait pas qui a fait cette attaque, comment ni dans quel but. Si c’est le crime organisé, ces informations ont probablement déjà été utilisées /revendu. On peut imaginer des attaques utilisant ces informations pour accéder à des comptes en ligne, faire des restaurations de mots de passe, impersonner des gens ou faire du spear phishing.

Si c’est au niveau gouvernemental, leur but était probablement pour avoir des informations privilégiées sur des cibles. Mais, comme on a vu dans le passé, il risque toujours de publier publiquement ces informations au moment où ils n’en ont plus besoin.

Nous savons depuis longtemps que les hôtels sont des cibles très intéressantes pour les hackeurs, car elles détiennent des données très personnelles ainsi que des données de paiement sur des gens venant du monde entier et avec des moyens financiers conséquents.

Avis personnel : 
Nous voyons encore ici un exemple d’une compagnie qui gardait des informations sur ces clients qui n’étaient pas forcement nécessaire. J’aime bien dire qu’il faut considérer les données comme un bien « toxique ». Pensons à une centrale nucléaire ; elle génère des déchets radioactifs de par sa fonction, mais en aucun cas elle ne veut en avoir plus ou plus longtemps que nécessaire. Malheureusement avec les émissions « Big Data » des entreprises, ces dernières préfèrent stocker un maximum.

Ce qui est déplorable est que, même si le Marriott va probablement offrir un monitoring gratuit du crédit pour les victimes, ceci ne pourra jamais réparer les dommages que causeront les cyber-attaque utilisant les données volées pendant les années à venir. Et même si le GDPR impose une grande amende au groupe Marriott, les victimes du deuxième degré (car il ne faut pas oublier que le Marriott est une victime dans cette histoire), qui ont eu leurs données volées, ne seront jamais compensées correctement.

On dit souvent qu’en cas de brèche il faut changer son mot de passe. Mais dans ce cas, les victimes vont devoir changer leur nom, numéro de passeport et date de naissance…