Les hôtels du groupe Marriott ont été une nouvelle fois la cible d’un piratage informatique, c’est la troisième fois en quatre ans. C’est ce que révèle, le 5 juillet, DataBreaches, un site web recensant les failles de sécurité des entreprises. Le groupe de hackers est parvenu à mettre la main sur près de 20 Go de données confidentielles.

20 Go de données dérobées

Le groupe Marriott, qui compte parmi ses hôtels la luxueuse chaîne Ritz-Carlton ou encore Sheraton, a confirmé avoir été victime d’un hack fin mai. Les pirates, surnommés le Group with No Name (GNN) par DataBreaches, ont réussi à s'infiltrer dans les serveurs de l’hôtel Marriott de l’aéroport international de Baltimore-Washington dans le Maryland. Ils ont eu recours à du « social engineering », une pratique de manipulation visant à extorquer des informations à une victime, afin d’obtenir l’accès à l’ordinateur d’un des employés de l’hôtel.

Les attaquants ont pu récolter près de 20 Go de données personnelles parmi lesquelles, les informations bancaires et personnelles appartenant aux clients et au personnel du groupe. Marriott a indiqué que les données de 300 à 400 personnes avaient été compromises. Melissa Froehlich Flood, une porte-parole de l’entreprise, a précisé à The Verge que les pirates n’avaient eu accès « qu’à des fichiers commerciaux internes non sensibles ».

Aperçu des données récupérées par le groupe de hackers.

Aperçu des données récupérées par le groupe de hackers. Image : DataBreaches.

Ce n’est pourtant pas ce qu’avance le groupe de hackers. Après avoir pris contact avec DataBreaches, ces derniers ont déclaré ne « pas avoir eu accès à toute la base de données ». Ils ont ajouté que « leur sécurité est très faible, nous n’avons eu aucun problème à prendre leurs données dont une partie est très sensible ».

Le groupe de pirates se revendique comme une équipe de « hackers red hat » ne s’attaquant qu’aux entreprises. Ils ne chiffrent pas les données volées afin de ne pas interférer dans les activités commerciales des sociétés. Il s’agit de hackers cherchant à sensibiliser les sociétés aux failles de leurs systèmes en utilisant des moyens peu éthiques.

Le GNN a ainsi réclamé de l’argent à Marriott en échange d’indications pour corriger la brèche. « Ils échangeaient avec nous et ont subitement coupé toute communication sans raison », détaille le groupe de hackers à DataBreaches, « c’est peut-être à cause des prix élevés que nous demandions, mais nous sommes toujours prêts à trouver un accord avec nos clients ». Marriott explique qu’aucune transaction monétaire n’a été effectuée et que la faille a été corrigée dans les six heures suivant sa découverte.

L’histoire se répète

Ce n’est pas la première fois que Marriott fait face à une fuite de données. Bien que le groupe souligne qu’il s'agit d'une brèche minime, cela monte le nombre de failles à 3 en l’espace de quatre ans. En 2018, ce sont les hôtels Starwood qui avaient été victimes d’un vaste piratage siphonnant les données de près de 500 millions de clients dans le monde entier. Deux ans plus tard, en avril 2020, Marriott annonçait avoir de nouveau subi une cyberattaque impliquant le vol des informations de 5,2 millions de personnes.

Pour le GNN, Marriott n’a pas encore retenu la leçon des précédents piratages et se repose sur un système de sécurité trop faible. En 2019, l’Information Commissioner’s Office, une autorité britannique, avait condamné le groupe à une amende de 100 millions de livres sterling (111 millions d’euros) pour ne pas avoir su empêcher le vol des données personnelles de ses clients.