Selon le quotidien Glascow Sunday Herald, la chaîne hôtelière Best Western aurait été victime d'un vol majeur d’identités. En effet, pas moins de 8 millions de données personnelles auraient été subtilisées par un « hacker indien ».  C’est via le système de réservation online que l’intrusion aurait permis à l’importun de mettre la main sur les données de tous les clients de l’un des hôtels de la chaîne depuis 2007. D’après les allégations du Glascow Sunday Herald, le modus operandi de l’intrusion aurait été vendu par le pirate via un « réseau underground opéré par la mafia Russe ». Les données incluraient: nom, prénom, adresse, téléphone, numéro de carte de crédit, et emploi occupé. La faille aurait été comblée par le groupe Best Western le vendredi 22 août.

L’affaire paraît donc grave. Le Sunday Herald pointe, avec pertinence, les conséquences d’un tel vol. Les numéros de cartes de crédit peuvent servir à des transactions frauduleuses online. Les données de réservation sont une mine pour des criminels. Ils pourraient vendre des packages d’information pour de futurs cambriolages, en se basant sur les dates auxquelles les clients de Best Western seront absents de leurs domiciles, dont les adresses sont connues.

Toutefois, les révélations du quotidien sont démenties par Best Western. Dans un communiqué publié le 24 août, la chaîne hôtelière qualifie l’article d’infondé, et les informations dévoilées d’inexactes. À aucun moment dans ce communiqué, le groupe ne reconnaît un vol massif. Il précise que les informations sur les cartes de crédit ne sont pas conservées au-delà du séjour de ses clients. Et Best Western indique être en conformité avec PCI DSS (Payment Card Industry Data Security Standard), un standard définissant des exigences en matière de sécurité des données bancaires. Les derniers audits internes et externes seraient datés de ce mois d’août 2008. Cependant, le communiqué reste flou sur un point précis : le vol d’identités est-il avéré ? Clients, partenaires et employés sont invités à ne pas s’inquiéter, mais il leur est conseillé de vérifier soigneusement leurs relevés de cartes de crédit !

Quoi qu’il en soit, cet incident dévoile aussi le défaut de communication de crise d’un groupe mondial, pourtant directement en contact avec le grand public, quotidiennement. Sur aucun des sites du groupe (anglais ou français), à la date du 25 août, un quelconque message vient rassurer et informer les clients. Une fenêtre surgissante apparaît bien à l’ouverture du site web français…pour proposer de participer à un grand jeu concours  afin de gagner un week-end de golf...

Mise à jour, 18h15, le 25 août: En complément de son démenti par voie de communiqué de presse, Best Western nous confirme nier les allégations du Sunday Herald. "Il n'existe aucune preuve de cette perte d'identités dans nos systèmes" affirme Troy Rutman, Directeur de la Communication chez Best Western International,  "Nous avons noté une activité suspecte dans un seul de nos hôtels, et les 13 clients concernés ont été avertis".