Une étude menée par l’entreprise américaine Symantec dresse un constat alarmant quant aux pratiques des établissements hôteliers : 67 % d’entre eux divulgueraient les données personnelles de leurs clients à des sites tiers, sans pour autant protéger leur processus d'envoi.

Alors qu’approche le premier anniversaire de la mise en place du RGPD, règlement européen sur le traitement et la circulation des données personnelles, la société américaine Symantec, spécialisée dans la cybersécurité, a publié une étude dans laquelle sont mises en exergue les pratiques plus que discutables des établissements hôteliers.

Sur une base d’analyse de 1500 hôtels implantés dans 54 pays de cinq continents — de deux à cinq étoiles –, Symantec a découvert une anomalie sur la divulgation des données personnelles des clients : deux sites internet sur trois communiquent les détails de réservation à des acteurs tiers, tels que des annonceurs publicitaires, réseaux sociaux et moteur de recherche, sans en avertir les personnes concernées. Et surtout, l’ensemble du processus n’est pas entièrement sécurisé.

La faille HTTP

Nom et prénom, adresse email, adresse postale, numéro de téléphone portable, les quatre derniers chiffres de la carte de crédit, type de carte de crédit, sa date d’expiration et le numéro de passeport : autant d’informations auxquelles ont eu accès un nombre conséquent de partenaires. Mais la firme d’outre-Atlantique pointe tout particulièrement du doigt les risques que peuvent entraîner ces fuites si un hacker malveillant tombait dessus.

Illustration d’un vol de données. // Crédit photo : wir_sind_klein via Pixabay.

Par la voie de son spécialiste Candid Wueest, Symantec détaille les démarches qui l’on amené à ces résultats. Ainsi, lorsqu’un client effectue une réservation sur le site internet d’un hôtel, ce dernier (dans 59 % des cas) lui renvoie une url « HTTP » de sa dite réservation par mail. Sur ce lien, se trouvent ses données personnelles suscitées. Le fait est que les références de réservation et les informations d’identification apparaissent également dans l’URL envoyée.

Problème : 29 % des sites des hôtels ne chiffrent pas le lien initial envoyé dans le courrier électronique par le biais du protocole HTTPS. Autrement dit, et comme le note Candid Wueest, un pirate serait en mesure d’intercepter les informations d’identification de la réservation si sa victime se trouve connectée au même réseau Wifi que lui (lieu public). De ce fait, le hacker pourrait consulter le récapitulatif de sa facture, sur lequel sont affichées toutes ses données personnelles.

Une autoroute pour les hackers

Un pirate pourrait aussi se faire passer pour un tiers de confiance de façon à mettre la main sur la data de l’utilisateur. La firme de cybersécurité alerte également sur les risques d’attaque par force brute. En d’autres termes, un attaquant pourrait bruteforcer l’URL en testant les numéros de réservation dans l’URL, jusqu’à tomber sur la page de sa victime. Pour ce faire, le hacker doit au moins connaître l’email ou le nom du client.

En ayant accès à ce type de données, les pirates informatiques disposent d’une certaine marge manœuvre : les dérober puis les revendre, suivre l’emplacement d’une personne ou encore usurper des identités. Et malgré la sonnette d’alarme tirée par Symantec, les réactions ont été trop peu nombreuses : 25 % des responsables de la protection des données des hôtels contactés n’ont pas répondu dans un délai de cinq semaines.

Partager sur les réseaux sociaux