Deux tiers des sites internet d'hôtels divulgueraient vos données personnelles

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.
Publié le 12 avril 2019 à 07h28
hotel-chambre-pixabay.jpg
Pixabay

La société Symantec a publié une inquiétante étude qui révèle que près de 70 % des sites web d'hôtels permettraient l'accès à des données personnelles importantes de votre réservation.

De nombreux sites internet d'hôtels sont passés au crible de Candid Wueest, auteur d'une étude alarmante publiée par Symantec. Le chercheur révèle que sur les 1 500 hôtels qu'il a pu analyser, 67% divulgueraient involontairement des informations personnelles de leurs clients vers des sites tiers, qui peuvent aussi bien être des annonceurs ou des sociétés d'analyse. L'étude porte sur des hôtels situés aux États-Unis, au Canada et même au sein de l'Union européenne, tombant sous le coup du règlement général sur la protection des données (RGPD) pour ces derniers.

Une possibilité d'annulation la réservation pour la personne qui y aurait accès

S'il est courant qu'un annonceur ait accès aux habitudes de navigation des utilisateurs, dans ce cas précis, la limite a largement été franchie. La société spécialisée dans les logiciels informatiques note dans son étude que les informations partagées par les sites des hôtels pouvaient directement permettre aux services tiers de se connecter sur la page de la réservation, de prendre connaissance des informations personnelles du voyageur, et même d'annuler sa réservation.

Alors que la faille concerne aussi bien des hôtels premier prix que des hôtels cinq étoiles, de nombreux établissements concernés par le problème « ont été très lents à le reconnaître », précise Candid Wueest. Certains hôtels font partie de grandes chaînes hôtelières.

Des informations personnelles contenues dans l'URL

Si certains sites ne révélaient qu'une valeur numérique et la date de séjour sans aucune autre information, la majorité a divulgué des données personnelles comme le nom, les adresses électronique et postale, le numéro de téléphone portable, les données bancaires (quatre derniers chiffres de la carte de crédit, son type et sa date d'expiration) ainsi que le numéro de passeport.

booking_graphic.png
Un exemple de confirmation de réservation indiquant les données de réservation d'un client susceptibles d'être divulguées (Crédits : Symantec)

La fuite de ces données se fait naturellement et par un procédé involontaire d'une simplicité déconcertante. Sur l'ensemble des sites testés par Symantec, 57 % d'entre eux envoient un email de confirmation de réservation aux clients, avec un lien direct d'accès à cette réservation. Le code de réservation et l'adresse électronique du client sont transmis dans l'URL, ce qui n'est pas dangereux en soi. Le problème, c'est que des tiers intégrant du contenu publicitaire dans les e-mails ont ainsi accès aux code de réservation et aux adresses e-mail. Une personne malintentionnée n'aurait besoin que de ces deux données pour trouver les autres.

Les comparateurs d'hôtels et moteurs de réservation seraient, eux, plus sécurisés. Deux sur cinq auraient tout de même divulgué des informations d'identification.

Les sites envoient des liens non cryptés

Un autre problème que Symantec a pu constater est que 29 % des sites d'hôtels envoyaient des courriels de confirmation qui contenaient des liens non cryptés. Un hacker potentiel pourrait ainsi intercepter les données d'identification du voyageur ayant cliqué sur le lien HTTP dans le mail pour afficher ou modifier sa réservation. L'étude indique que l'utilisation d'un VPN aiderait à protéger la connexion en cas d'utilisation d'un Wi-Fi public.

Si vous avez récemment réservé un hôtel en ligne et que l'URL contenue dans votre mail de confirmation ressemble à celle-ci, https://booking.the-hotel.tld/[email protected], il est possible que les données de votre réservation soient exposées. La société recommande aux sites de réservation d'utiliser des liens cryptés HTTPS et de s'assurer qu'aucune information personnelle d'identification ne soit raccrochée à l'URL.

Symantec déplore enfin que seuls 25 % des responsables de la protection des données (les fameux DPO) ont répondu aux sollicitations de la société dans les six semaines.

Alexandre Boero
Par Alexandre Boero
Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (4)
LeGrosWinnie

Je viens de tester simplement Booking.com (la référence).

SI (et j’insiste sur le “SI”) on récupère le lien même crypté (toute façon qu’il soit crypté ou pas ça change rien si on l’intercepte…) on peut effectivement avoir accès à des infos sur la réservation, modifier les dates, annuler celle-ci, etc.

Les infos réellement dispo (autre que l’hotel et la date de réservation évidemment) dans l’exemple :

  • nom prénom
  • 3 derniers chiffres du téléphone
  • 4 derniers chiffres CB.

Enfin, comme dit au dessus, il faut des conditions bien spécifique pour que ce problème se pose réellement…

En gros à moins de s’être fait pirater avant (et là y’a plus grave qu’un hôtel à priori) on s’en bas les c. royalement…

Precrime

Tu as oublié le </troll off>

le nom et prénom rentre bien sur GDPR, url chrifrée ou pas…

elninho

Ce que je comprends, c’est que ce sont justement les systèmes de réservation des hôtels eux-mêmes qui sont davantage à risque; c’est-à-dire quand on passe directement par eux, et non via une plateforme du type Booking (qui ne sont pas non plus exemptes de reproches).

LeGrosWinnie

Et ? Ça te fait une belle jambe de savoir comment un mec s’appelle vu que t’as pas sa photo, ni son adresse, ni rien en fait…
D’ailleurs suffit de se promener dans la rue pour savoir qui habite où en fait… Et ça te sert à rien vu que tu peux relier l’adresse à personne sauf si tu attends de voir sortir le mec, que tu le prends en photo, etc.

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles