L'alarme avait retenti le 8 septembre déjà chez Marriott, lorsque l'entreprise apprit via des outils de sécurité internes qu'un intrus tentait d'accéder à la base de données des réservations. Voilà ce qu'annonce Marriott elle-même au moyen d'un courriel que Data News a également reçu.

Durant l'enquête menée sur cet incident, l'entreprise apprit que l'accès illicite au réseau de Starwood, la filiale de Marriott, remontait à l'année 2014 déjà. Il en est résulté que les pirates ont copié et crypté certaines informations.

Selon Mariott, elle n'a pu décrypter que le 19 novembre dernier ces informations codées et a découvert qu'il s'agissait de renseignements de la banque de données des réservations. Il fallut encore attendre 11 jours - le 30 novembre -, avant que l'entreprise ne commence à en informer ses clients. La plupart d'entre eux n'en furent même avertis que dans les jours qui suivirent.

Données de cartes de crédit

La suite de l'histoire est entre-temps connue: la banque de données que les hackers ont à coup sûr copiée, contient les renseignements de 500 millions de personnes. Pour 327 millions d'entre eux, il s'agit d'une combinaison de nom, adresses mail et physique, numéro de téléphone, sexe, date de naissance, numéro de passeport, dates d'arrivée et de départ, informations de compte Starwoord Preferred Guest, préférences au niveau de la communication et, dans certains cas, informations de paiement.

On ne sait pas encore combien de clients ont vu leurs données de paiement prendre la clé des champs, mais Marriott déclare que les numéros de cartes de crédit et leur date d'expiration sont en outre cryptés au moyen du système AES-128, pour lequel deux éléments sont nécessaires pour les déchiffrer. Le hic, c'est que la chaîne hôtelière ne sait pas (encore) si ces éléments ont été également dérobés.

Vérification des cartes de crédit: pas pour les Flamands

Marriott a mis en place un centre d'appels, même s'il ne donne que peu de réponses aux clients belges. C'est ainsi que via le numéro de téléphone pour la Belgique, seuls les clients francophones reçoivent de l'aide. Les Flamands sont renvoyés vers le centre de contacts britannique. Ces centres indiquent que les victimes du piratage seront informées séparément, s'il s'avère que leurs données de carte de crédit ont également été dérobées.

Mariott propose en outre aux clients touchés un an de WebWatcher gratuit. Il s'agit là d'un service de contrôle qui prévient si des données personnelles apparaissent en ligne, mais il ne s'applique qu'aux clients américains, canadiens et britanniques. Lorsque Data News demande s'il y aura aussi un tel service pour les clients européens ou ce qu'il faut faire au cas où des données de clients seraient abusées, on nous renvoie à la 'division belge'. Mais le numéro que notre rédaction a reçu, semble être celui de l'Autorité pour la protection des données.