Le géant mondial de l'hôtellerie Marriott a annoncé vendredi le piratage d'une base de données pouvant contenir les informations d'environ 500 millions de clients, précisant qu'une enquête interne avait révélé des "accès non autorisés" depuis 2014.

Le groupe américain, dont le siège est à Bethesda (Maryland), a précisé dans un communiqué avoir reçu un signalement le 8 septembre 2018 concernant une tentative d'accès à un vaste fichier de réservations aux Etats-Unis et l'enquête a révélé qu'un "tiers non autorisé" avait "copié et crypté des informations, et avait entrepris des opérations pour les retirer".

"Nous regrettons profondément cet incident. Depuis le début, nous avons agi rapidement pour limiter cet incident et mener une enquête approfondie avec l'assistance d'experts en sécurité de premier plan", a indiqué Arne Sorenson, patron de Marriott, cité dans le communiqué. "Nous faisons tout notre possible pour soutenir nos clients".

Nous allouons toutes les ressources nécessaires pour éliminer les systèmes Starwood et accélérer le renforcement en cours de la sécurité de notre réseau. Arne Sorenson, patron de Marriott

Les forces de l'ordre ont ouvert une enquête, avec laquelle Marriott coopère, et les autorités de régulation ont été prévenues.

L'hôtelier, qui a fusionné en 2016 avec l'Américain Starwood devenant alors le premier groupe hôtelier mondial, dit n'avoir pas fini d'identifier les informations ayant été dupliquées. Elles peuvent concerner des réservations effectuées le ou avant le 10 septembre 2018.

Réseau Starwood

Il a relevé que pour environ 327 millions de clients sur les quelque 500 millions qui figureraient dans la base de données affectée, les informations contenues incluent noms, adresses postale et électronique, numéros de téléphone et de passeport, date de naissance, sexe ou encore détails sur le compte Starwood Preferred Guest (SPG), une carte haut de gamme lancée récemment par l'émetteur de cartes de crédit American Express (AmEx) destinée aux voyageurs réguliers. Pour certains clients, le numéro de carte bancaire et sa date d'expiration sont également concernés.

Pour les autres, les informations ne comportent que le nom et, parfois, d'autres détails comme les adresses email et postale.

Marriott a mis en place un site dédié et un centre d'appel pour informer les clients. Il compte envoyer des emails aux personnes concernées à partir de vendredi, a-t-il ajouté.

Le site d'information précise que seules les réservations opérées par le biais du réseau Starwood étaient concernées car "Marriott utilise un système de réservation séparé qui est sur un réseau différent".

Le portefeuille hôtelier de Starwood inclut notamment W Hotels, Sheraton Hotels and Resorts, Westin Hotels and Resorts, Le Méridien Hotels and Resorts ou encore Four Points by Sheraton et Design Hotels. Des propriétés de Starwood en multipropriété (timeshare) peuvent également être concernées.

Marriott a indiqué offrir l'abonnement gratuit à WebWatcher, un service qui surveille internet pour vérifier si des données personnelles d'un client sont utilisées.