L’autorité britannique de la protection de la vie privée ICO (Information Commissionner’s office) inflige une amende de 20 millions d’euros (18,4 millions de livres) à la chaîne hôtelière Marriott International Inc pour ne pas avoir protégé les données personnelles de ses clients.
Une attaque qui a touché 339 millions d’enregistrements clients
La chaîne Marriott estime que les données de 339 millions d’enregistrements clients dans le monde ont été affectées à la suite d’une cyberattaque en 2014 contre Starwood Hotels and Resorts Worldwide Inc. L’attaque, d’une source inconnue, est restée non détectée jusqu’en septembre 2018, date à laquelle la société avait été rachetée par Marriott.
Les données volées pouvaient inclure des noms, adresses e-mail, numéros de téléphone et numéros de passeport
L’ICO considère que Marriott n’avait pas mis en place des mesures techniques ou organisationnelles appropriées pour protéger les données personnelles traitées sur ses systèmes, comme l’exige le règlement général sur la protection des données (RGPD). L’enquête de l’ICO a retracé la cyberattaque en remontant jusqu’en 2014, mais la sanction ne concerne que la violation du 25 mai 2018, lorsque les nouvelles règles du RGPD sont entrées en vigueur. Étant donné que la violation s’est produite avant que le Royaume-Uni ne quitte l’Union Européenne (UE), l’ICO a enquêté au nom de toutes les autorités de protection de données de l’UE en tant qu’autorité de surveillance principale en vertu du RGPD. La sanction et l’action ont été approuvées par les autres autorités de protection de l’UE dans le cadre du processus de coopération du RGPD.
Un morceau de code « shell web» installé sur un terminal
En 2014, un attaquant inconnu a installé un morceau de code connu sous le nom de « shell web» sur un terminal du système des hôtels Starwood, lui donnant la possibilité d’accéder et de modifier le contenu de cet appareil à distance. Cet accès a été exploité afin d’installer des logiciels malveillants, permettant à l’attaquant d’avoir un accès à distance au système en tant qu’utilisateur privilégié. En conséquence, l’attaquant aurait eu un accès illimité à l’appareil concerné et aux autres appareils du réseau auxquels ce compte aurait eu accès.
Avec ces informations d’identification, l’attaquant a récupéré la base de données des réservations des clients de Starwood
Marriott international déclare qu’il ne fera pas appel de la décision de l’ICO et considère qu’elle met fin à l’enquête britannique et européenne concernant la fuite de la base de données des réservations des hôtels Starwood rapportée par Marriott en novembre 2018. Marriott insiste sur le fait que la fuite de données ne concernait que le réseau séparé des hôtels Starwood, qui n’est plus utilisé.