La société Symantec a publié une inquiétante étude qui révèle que près de 70 % des sites web d'hôtels permettraient l'accès à des données personnelles importantes de votre réservation.
De nombreux sites internet d'hôtels sont passés au crible de Candid Wueest, auteur d'une étude alarmante publiée par Symantec. Le chercheur révèle que sur les 1 500 hôtels qu'il a pu analyser, 67% divulgueraient involontairement des informations personnelles de leurs clients vers des sites tiers, qui peuvent aussi bien être des annonceurs ou des sociétés d'analyse. L'étude porte sur des hôtels situés aux États-Unis, au Canada et même au sein de l'Union européenne, tombant sous le coup du règlement général sur la protection des données (RGPD) pour ces derniers.
Une possibilité d'annulation la réservation pour la personne qui y aurait accès
S'il est courant qu'un annonceur ait accès aux habitudes de navigation des utilisateurs, dans ce cas précis, la limite a largement été franchie. La société spécialisée dans les logiciels informatiques note dans son étude que les informations partagées par les sites des hôtels pouvaient directement permettre aux services tiers de se connecter sur la page de la réservation, de prendre connaissance des informations personnelles du voyageur, et même d'annuler sa réservation.Alors que la faille concerne aussi bien des hôtels premier prix que des hôtels cinq étoiles, de nombreux établissements concernés par le problème « ont été très lents à le reconnaître », précise Candid Wueest. Certains hôtels font partie de grandes chaînes hôtelières.
Des informations personnelles contenues dans l'URL
Si certains sites ne révélaient qu'une valeur numérique et la date de séjour sans aucune autre information, la majorité a divulgué des données personnelles comme le nom, les adresses électronique et postale, le numéro de téléphone portable, les données bancaires (quatre derniers chiffres de la carte de crédit, son type et sa date d'expiration) ainsi que le numéro de passeport.La fuite de ces données se fait naturellement et par un procédé involontaire d'une simplicité déconcertante. Sur l'ensemble des sites testés par Symantec, 57 % d'entre eux envoient un email de confirmation de réservation aux clients, avec un lien direct d'accès à cette réservation. Le code de réservation et l'adresse électronique du client sont transmis dans l'URL, ce qui n'est pas dangereux en soi. Le problème, c'est que des tiers intégrant du contenu publicitaire dans les e-mails ont ainsi accès aux code de réservation et aux adresses e-mail. Une personne malintentionnée n'aurait besoin que de ces deux données pour trouver les autres.
Les comparateurs d'hôtels et moteurs de réservation seraient, eux, plus sécurisés. Deux sur cinq auraient tout de même divulgué des informations d'identification.
Les sites envoient des liens non cryptés
Un autre problème que Symantec a pu constater est que 29 % des sites d'hôtels envoyaient des courriels de confirmation qui contenaient des liens non cryptés. Un hacker potentiel pourrait ainsi intercepter les données d'identification du voyageur ayant cliqué sur le lien HTTP dans le mail pour afficher ou modifier sa réservation. L'étude indique que l'utilisation d'un VPN aiderait à protéger la connexion en cas d'utilisation d'un Wi-Fi public.Si vous avez récemment réservé un hôtel en ligne et que l'URL contenue dans votre mail de confirmation ressemble à celle-ci, https://booking.the-hotel.tld/[email protected], il est possible que les données de votre réservation soient exposées. La société recommande aux sites de réservation d'utiliser des liens cryptés HTTPS et de s'assurer qu'aucune information personnelle d'identification ne soit raccrochée à l'URL.
Symantec déplore enfin que seuls 25 % des responsables de la protection des données (les fameux DPO) ont répondu aux sollicitations de la société dans les six semaines.