Le spécialiste de la cybersécurité Symantec a publié un rapport sur les risques liés aux réservations d’hôtels. La société pointe tout particulièrement du doigt les sites officiels des établissements qui manquent pour l’archi majorité d’entre eux (67%) de sécurité. Qu’il s’agisse d’hôtels entrée de gamme ou d’établissements luxueux, beaucoup négligeraient la sécurité des données de leurs clients.
Pour arriver à ces conclusions, Symantec a étudié pas moins de 1 500 hôtels à travers le monde. La société a remarqué une erreur régulière concernant la sécurité des données au moment de l’envoi de l’email de confirmation : pour accéder à leur réservation depuis celui-ci, les clients doivent cliquer sur un lien qui n’est souvent pas sécurisé et qui contient des informations sensibles dans l’URL – adresse email et référence de confirmation.
Voici un exemple d’URL classique (non sécurisée) :
https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld
Les emails de confirmation ouvrent la porte aux pirates
Si ce procédé permet aux utilisateurs de retrouver leur réservation directement sur le site de l’hôtel (ce qui est plutôt pratique en soi), cette URL n’est pas cryptée et elle peut donc être consultée par tous les fournisseurs d’outils tiers (comme par exemple les outils d’analyse du trafic, ou encore des bornes Wi-Fi publiques).
Il suffirait que l’un d’entre eux légèrement malintentionné récupère alors ces données pour accéder à la réservation et récupérer tous les détails de cette dernière : nom et prénom du client, numéro de téléphone, adresse postale, numéro de passeport – voire des informations encore plus sensibles.
Toutefois, Symantec, la société à l’origine de l’antivirus Norton explique qu’il s’agit plus globalement d’un problème de sécurité dans toute l’industrie du voyage. Certains agrégateurs d’hôtels seraient également victimes de faille dans leur sécurité. Les pirates n’hésitent plus aujourd’hui à s’attaquer à ce secteur, et la chaîne hôtelière Marriott en a fait les frais récemment.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.