Booking.com aurait été piraté par une agence de renseignement américaine en 2016 (et n'aurait rien dit)

14 novembre 2021 à 19h00
9

Épinglée le mois dernier par le tribunal judiciaire de Paris pour avoir omis certaines dispositions du code de tourisme, Booking.com doit faire face à une nouvelle révélation fracassante.

Une agence de renseignement américaine a volé les données personnelles de milliers de réservations de Booking.com dans le Moyen-Orient et la plateforme n’a averti aucune victime de ce piratage.

Une agence de renseignement a piraté Booking

Dans un livre publié ce jeudi 11 novembre, trois journalistes néerlandais ont révélé que le site de réservation de logements en ligne a été victime d’un piratage en 2016. Les auteurs de l’attaque avaient profité d’une faille dans un serveur de Booking.com pour s’introduire dans le système et y voler les données de milliers de réservations effectuées dans le Moyen-Orient, notamment en Arabie saoudite, au Qatar et aux Émirats arabes unis. Les pirates avaient alors dérobé les noms des clients et leurs itinéraires de voyage.

La plateforme a ensuite consulté l’AVID, le Service général de Renseignement et de Sécurité allemand, pour enquêter sur l’attaque sans de réels résultats. Deux mois plus tard, un enquêteur privé américain a trouvé plusieurs indices menant à un hackeur officiant pour une entreprise travaillant pour des agences de renseignement américaines. En d’autres termes il s’agissait d’une opération d’espionnage menée par les États-Unis. 

Les victimes non informées, Booking se défend

Malgré la sensibilité de l’affaire, Booking.com a préféré l’étouffer. La société néerlandaise n’a contacté aucune des victimes concernées, n’a jamais communiqué dessus et s’est contentée de corriger la faille qui a permis cette intrusion. La direction avait alors estimé qu’aucune donnée financière ou sensible n’avait été volée et que par conséquent elle n’était pas légalement tenue d’informer les personnes touchées par l’attaque. 

C’est entre autres sa ligne de défense. Booking affirme avoir suivi la DDPA, la loi nationale sur la protection des données avant l’instauration du RGPD, « qui incitait les entreprises à prendre des mesures pour notifier les victimes uniquement s’il y avait des effets négatifs avérés sur la vie privée des individus, ce pour quoi aucune preuve n’a été détectée », a déclaré un porte-parole de la plateforme.

Pourtant, les risques d’un impact sur la vie privée des utilisateurs étaient bien présents. Ces données sont en effet généralement volées dans le cadre d'espionnage avec le but premier de surveiller les déplacements des personnes. Elles peuvent cependant servir à placer les victimes sur des listes d’interdiction de vol, les mettre sur écoute ou leur interdire de séjourner dans certains pays. 

Source : Arstechnica

Voir les 9 commentaires sur le site

Articles récents