Skip to content
EspionnageRésolu

Violation de données clients Marriott / Starwood

Des opérateurs attribués à l'État chinois sont restés présents sans être détectés sur la base de données de réservation des clients de Starwood depuis 2014, survivant à l'acquisition de 2016 par Marriott. Révélation en 2018 : 500 millions d'enregistrements clients exposés, dont 5,25 millions de numéros de passeport non chiffrés.

Partie de la campagnechinese big four pii collection
Victime
Marriott International / Starwood Hotels & Resorts
Perte
$200.0M
données
500.0M
utilisateurs
500.0M

Le 30 novembre 2018, Marriott International a révélé que des opérateurs — évalués par le gouvernement américain et de grands analystes du secteur comme des acteurs étatiques chinois — étaient présents sur la base de données de réservation des clients de Starwood Hotels & Resorts depuis juillet 2014. L'intrusion avait survécu à l'acquisition de Starwood par Marriott pour 13,6 milliards de dollars en 2016, et s'était poursuivie sans être détectée pendant les deux années suivantes de propriété de Marriott.

L'exfiltration totale : des enregistrements personnels portant sur jusqu'à 500 millions de clients — à l'époque la deuxième plus grande violation de données de l'histoire, derrière la seule Yahoo.

Ce qui s'est passé

Les attaquants ont pénétré dans le réseau de Starwood à la mi-2014 — plus de quatre ans avant la révélation publique. Ils ont installé une combinaison de :

  • Web shells pour un commandement et contrôle persistant via HTTP
  • MimiKatz pour la collecte d'identifiants
  • Multiples implants sur mesure pour la préparation et l'exfiltration des données

Une fois à l'intérieur, ils ont obtenu des identifiants d'administrateur de domaine, cartographié l'environnement et obtenu l'accès à la base de données centrale de réservation des clients que Starwood utilisait pour l'ensemble de ses établissements de marque Westin, Sheraton, W, St. Regis, Le Méridien, Aloft et autres à travers le monde.

Pendant les quatre années et plus qui ont suivi, les opérateurs ont eu un accès continu à :

  • Noms, adresses, numéros de téléphone, adresses e-mail des clients
  • Dates de naissance
  • Numéros de passeport (~5,25 millions stockés non chiffrés ; ~20 millions chiffrés avec des clés également présentes dans l'environnement)
  • Informations de compte de programme de fidélité (Starwood Preferred Guest)
  • Dates d'arrivée et de départ, dates de réservation
  • Pour ~8,6 millions de clients : données de cartes de paiement chiffrées, bien que les clés de chiffrement se trouvaient sur les mêmes systèmes compromis

L'exfiltration a été lente, prudente et continue — cohérente avec une opération de collecte de renseignement étatique plutôt qu'avec un coup criminel rapide.

L'acquisition de Marriott et la migration manquée

En septembre 2016, Marriott a finalisé son acquisition de Starwood. Dans le cadre du plan d'intégration, Marriott prévoyait de migrer les réservations Starwood vers sa propre plateforme Marsha sous deux ans. La migration n'a pas été achevée avant la détection de la violation — et les attaquants ont conservé leur accès à l'infrastructure côté Starwood tout au long de la période post-acquisition.

L'implication stratégique : Marriott a hérité d'une violation active inconnue lors de l'acquisition. La diligence raisonnable standard pré-acquisition (financière, juridique, réglementaire) n'avait pas révélé la compromission. La diligence raisonnable spécifique à la cybersécurité est depuis devenue une composante standard des fusions-acquisitions dans les secteurs réglementés — Marriott / Starwood est l'un des cas motivants les plus cités.

La détection est finalement intervenue le 8 septembre 2018, lorsque l'outil de détection des menaces de Marriott géré par Accenture a déclenché une alerte sur une requête interne suspecte à la base de données du système de réservation de Starwood. L'enquête forensique qui a suivi a fait remonter l'accès jusqu'à juillet 2014.

Impact

  • 500 millions d'enregistrements clients exposés, dont :
    • ~327 M d'enregistrements comportant des données significatives de documents d'identité
    • ~5,25 M de numéros de passeport non chiffrés
    • ~20 M de numéros de passeport chiffrés (avec des clés récupérables)
    • ~8,6 M de numéros de cartes de paiement chiffrés
  • Sanction de l'ICO britannique : 18,4 M£ (~23,8 M$ US) en octobre 2020 — troisième plus importante sanction RGPD à l'époque.
  • Règlement avec les procureurs généraux de plusieurs États américains : 52 M$ convenus en octobre 2024.
  • Règlement d'un recours collectif : 26,5 M$ en 2022.
  • Coût total divulgué : plus de 200 M$ avant assurance.

Attribution

L'attribution publique du gouvernement américain — par des déclarations de hauts responsables de la NSA, du DHS et du FBI à la presse en décembre 2018 — désignait les services de renseignement chinois, l'opération étant évaluée comme faisant partie de la plus large campagne chinoise de collecte ciblant les sources de données américaines riches en enregistrements personnels. Le même groupe d'acteurs a ciblé Anthem (2015), l'OPM (2015) et Equifax (2017).

La valeur stratégique des données Marriott / Starwood réside dans le renseignement sur les schémas de déplacement : identifier quand des personnes d'intérêt spécifiques — responsables du gouvernement américain, officiers de renseignement, personnel des services extérieurs, employés de sous-traitants disposant d'accès habilités — se trouvaient à tel endroit, et avec qui leurs séjours se recoupaient. Recoupées avec les jeux de données de l'OPM et d'Anthem, ces informations combinées produisent un profil opérationnel complet.

Pourquoi c'est important

Marriott / Starwood est le cas emblématique de la diligence raisonnable cyber dans les fusions-acquisitions. Il a établi :

  • Que des intrusions actives peuvent survivre aux acquisitions et devenir le problème de l'acquéreur après la conclusion. La posture de cybersécurité de la société acquise est une responsabilité héritée.
  • Que les numéros de passeport constituent une catégorie cible de données distincte des identifiants ou des PII. Les numéros de passeport n'expirent pas et ne peuvent être réémis sans un coût administratif important ; leur compromission est effectivement permanente.
  • Qu'une durée de présence de plus de quatre ans au sein d'une entreprise du Fortune 500 est opérationnellement réalisable pour des acteurs étatiques. Le mécanisme de détection qui a finalement révélé la violation existait, mais seulement au stade post-acquisition — la détection pré-acquisition de Starwood n'avait pas surpris l'opération en plusieurs années d'activité.
  • Que l'application du RGPD peut produire des sanctions à huit chiffres contre des entreprises américaines pour défaut de protection des données personnelles de l'UE, même lorsque la violation sous-jacente est antérieure au règlement. La sanction de l'ICO a été prononcée en 2020 pour une intrusion ayant débuté en 2014.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
200.0M
USD · 200 000 000 $US
  • Perte d’exploitation$100.0M
  • Remédiation$75.0M
  • Amendes & règlements$75.0M

Chronologie

  1. Intrusion initiale dans le réseau de réservation de Starwood Hotels. Les opérateurs installent un RAT (web shell + MimiKatz + multiples implants sur mesure) et établissent un accès persistant à la base de données centrale de réservation des clients.

  2. Accès continu aux réservations des clients de Starwood pendant plus de quatre ans.

  3. Marriott finalise l'acquisition de Starwood pour 13,6 Md$. Marriott commence à planifier la migration des réservations Starwood vers sa propre plateforme mais ne termine pas la migration avant la détection de la violation.

  4. L'outil de détection des menaces de Marriott (géré par Accenture) déclenche une alerte sur une activité suspecte de requêtes internes à la base de données depuis l'environnement Starwood.

  5. Marriott révèle publiquement la violation. Portée initiale : jusqu'à 500 millions d'enregistrements clients, dont 5,25 millions de numéros de passeport non chiffrés et 8,6 millions de cartes de paiement chiffrées.

  6. Le gouvernement américain (NSA, DHS) et la presse spécialisée en sécurité attribuent l'opération aux services de renseignement chinois.

  7. L'ICO britannique inflige à Marriott une amende de 18,4 M£ (~23,8 M$ US) — à l'époque la troisième plus importante sanction RGPD jamais prononcée.

  8. Marriott accepte un règlement de 52 M$ avec les procureurs généraux de plusieurs États.

Sources

  1. news.marriott.comhttps://news.marriott.com/news/2018/11/30/marriott-announces-starwood-guest-reservation-database-security-incident
  2. washingtonpost.comhttps://www.washingtonpost.com/world/national-security/china-hackers-marriott-breach/2018/12/11/d3082b8e-fcb1-11e8-83c0-b06139e540e5_story.html
  3. ico.org.ukhttps://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2020/10/ico-fines-marriott-international-inc-184million-for-failing-to-keep-customers-personal-data-secure/

Incidents liés

EspionnageContenu

Campagne d'espionnage UNC6508 visant la recherche médicale et de défense (lié à la RPC)

Le Threat Intelligence Group de Google a révélé que l'acteur lié à la RPC UNC6508 a passé plus d'un an au sein d'environnements de recherche médicale, universitaire et de santé militaire aux États-Unis et au Canada, compromettant d'anciens serveurs REDCap, déployant le maliciel sur mesure INFINITERED et détournant les règles de conformité de la messagerie Google Workspace pour exfiltrer discrètement des données de recherche et de défense.

Victim
Institutions de recherche médicale, universitaire et de santé militaire aux États-Unis et au Canada
EspionnageContenu

Campagne d'espionnage Salt Typhoon contre les télécoms américains (2024)

Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.

Victim
Opérateurs de télécommunications américains (Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications, Windstream)
EspionnageContenu

Vol de clé de signature Microsoft par Storm-0558 et accès aux courriels du gouvernement américain (2023)

Storm-0558, basé en Chine, a falsifié des jetons d'authentification à l'aide d'une clé de signature grand public Microsoft volée et a lu les courriels d'environ 25 organisations — dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. La « cascade d'erreurs » qui l'a rendu possible est devenue un cas emblématique de la garde des clés par les fournisseurs cloud.

Victim
Clients Microsoft (Département d'État américain, Département du Commerce, ~25 organisations)