Cybersécurité : 70 % des hôtels exposent les données sensibles de leurs clients.
En décembre 2018, le groupe Mariott annonçait une des plus grosses fuite de donnée concernant les clients de plus de 6500 hôtels partenaires. Soit plus de 500 millions de personnes concernées! Suite à cette annonce, le groupe de cybersécurité Symantec a mené une vaste enquête sur la protection des données dans le secteur touristique.
L’URL contenu dans le mail de confirmation en cause
Les résultats de cette enquête qui a concerné plus de 1500 hôtels dans 54 pays, principalement en Europe, USA et Canada, sont plutôt alarmants. En effet, dans plus de 70 % des cas, les données personnelles des clients sont exposées au grand jour et à la vue de tous (ou presque). Le principal problème réside dans l’URL de confirmation que vous envoie l’hôtel pour consulter, modifier ou annuler sa réservation.
Cet url, dans plus de 2/3 des cas, contient le nom, l’adresse email de connexion et le mot de passe de l’utilisateur. Toute personne ayant accès à ces informations peut connaître l’identité du client, son adresse, son nom mais aussi toutes les données que l’hôtel a stocké dans son espace personnel (carte de crédit…). Plus surprenant encore, la personne qui capterait cet url pourrait sans problème, consulter et même modifier ou annuler la réservation du client !
Pour savoir si le lien reçu représente une menace pour vos données, vérifier si vous y trouvez votre nom ou votre adresse email. Ce lien est potentiellement dangereux par exemple : https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld.
Absence de cryptage
Encore plus grave, pour 29 % des cas relevés, le lien concerné est en clair et non crypté ! Ce qui signifie que n’importe quel pirate qui intercepte votre connexion peut avoir accès à vos données très facilement!
Pour rappel, vous pouvez vérifier si un site crypte ses connexions de manière très simple. Il suffit de regarder l’url de destination si celui commence par HTTP, alors attention, les données sont en clair. Pour être sûr que les données échangées avec un site sont cryptées, donc sécurisées, il faut que son adresse commence par https. Votre navigateur, dans ces cas là, affichera un cadenas vert pour vous signifier que la connexion est sûre.
Attention, le fait que l’url de confirmation que vous avez reçu commence par htps ne signifie pas que vos données sont protégées. Cela signifie juste que celui qui mettra la main dessus devra avoir la clé de chiffrement pour y accéder.
Encore du chemin à parcourir
Les problèmes de sécurité relevés dans cette étude ne l’ont pas été seulement dans les petits établissements hôteliers mais aussi dans des grands hôtels et resorts 5 étoiles appartenant à des grands groupes. Tous les types d’hôtels sont concernés par ces failles de sécurité. Les plateformes de réservation, testées elles aussi, obtiennent un résultat un peu meilleur mais 2 sur 5 exposent quand même les données de leurs clients.
Pour finir sur une donnée qui ne faisait pas directement partie de l’étude mais qui est très révélateur du peu d’importance que prêtent les hôteliers au problème, il faut noter que seuls 25 % des responsables de la protection des données contactés ont répondu dans les 6 semaines !
Il reste encore du chemin à parcourir avant que les mesures mises en place par le RGPD soient vraiment respectées. En attendant, en tant que client, prenez garde à vos données et en tant que professionnel, prenez soin de celles de vos clients !