Deux tiers des sites internet d'hôtels divulgueraient vos données personnelles

Alexandre Boero
Chargé de l'actualité de Clubic
12 avril 2019 à 07h28
5
hotel-chambre-pixabay.jpg
Pixabay

La société Symantec a publié une inquiétante étude qui révèle que près de 70 % des sites web d'hôtels permettraient l'accès à des données personnelles importantes de votre réservation.

De nombreux sites internet d'hôtels sont passés au crible de Candid Wueest, auteur d'une étude alarmante publiée par Symantec. Le chercheur révèle que sur les 1 500 hôtels qu'il a pu analyser, 67% divulgueraient involontairement des informations personnelles de leurs clients vers des sites tiers, qui peuvent aussi bien être des annonceurs ou des sociétés d'analyse. L'étude porte sur des hôtels situés aux États-Unis, au Canada et même au sein de l'Union européenne, tombant sous le coup du règlement général sur la protection des données (RGPD) pour ces derniers.

Une possibilité d'annulation la réservation pour la personne qui y aurait accès

S'il est courant qu'un annonceur ait accès aux habitudes de navigation des utilisateurs, dans ce cas précis, la limite a largement été franchie. La société spécialisée dans les logiciels informatiques note dans son étude que les informations partagées par les sites des hôtels pouvaient directement permettre aux services tiers de se connecter sur la page de la réservation, de prendre connaissance des informations personnelles du voyageur, et même d'annuler sa réservation.

Alors que la faille concerne aussi bien des hôtels premier prix que des hôtels cinq étoiles, de nombreux établissements concernés par le problème « ont été très lents à le reconnaître », précise Candid Wueest. Certains hôtels font partie de grandes chaînes hôtelières.

Des informations personnelles contenues dans l'URL

Si certains sites ne révélaient qu'une valeur numérique et la date de séjour sans aucune autre information, la majorité a divulgué des données personnelles comme le nom, les adresses électronique et postale, le numéro de téléphone portable, les données bancaires (quatre derniers chiffres de la carte de crédit, son type et sa date d'expiration) ainsi que le numéro de passeport.

booking_graphic.png
Un exemple de confirmation de réservation indiquant les données de réservation d'un client susceptibles d'être divulguées (Crédits : Symantec)

La fuite de ces données se fait naturellement et par un procédé involontaire d'une simplicité déconcertante. Sur l'ensemble des sites testés par Symantec, 57 % d'entre eux envoient un email de confirmation de réservation aux clients, avec un lien direct d'accès à cette réservation. Le code de réservation et l'adresse électronique du client sont transmis dans l'URL, ce qui n'est pas dangereux en soi. Le problème, c'est que des tiers intégrant du contenu publicitaire dans les e-mails ont ainsi accès aux code de réservation et aux adresses e-mail. Une personne malintentionnée n'aurait besoin que de ces deux données pour trouver les autres.

Les comparateurs d'hôtels et moteurs de réservation seraient, eux, plus sécurisés. Deux sur cinq auraient tout de même divulgué des informations d'identification.

Les sites envoient des liens non cryptés

Un autre problème que Symantec a pu constater est que 29 % des sites d'hôtels envoyaient des courriels de confirmation qui contenaient des liens non cryptés. Un hacker potentiel pourrait ainsi intercepter les données d'identification du voyageur ayant cliqué sur le lien HTTP dans le mail pour afficher ou modifier sa réservation. L'étude indique que l'utilisation d'un VPN aiderait à protéger la connexion en cas d'utilisation d'un Wi-Fi public.

Si vous avez récemment réservé un hôtel en ligne et que l'URL contenue dans votre mail de confirmation ressemble à celle-ci, https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld, il est possible que les données de votre réservation soient exposées. La société recommande aux sites de réservation d'utiliser des liens cryptés HTTPS et de s'assurer qu'aucune information personnelle d'identification ne soit raccrochée à l'URL.

Symantec déplore enfin que seuls 25 % des responsables de la protection des données (les fameux DPO) ont répondu aux sollicitations de la société dans les six semaines.

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (5)

LeGrosWinnie
Je viens de tester simplement Booking.com (la référence).<br /> SI (et j’insiste sur le “SI”) on récupère le lien même crypté (toute façon qu’il soit crypté ou pas ça change rien si on l’intercepte…) on peut effectivement avoir accès à des infos sur la réservation, modifier les dates, annuler celle-ci, etc.<br /> Les infos réellement dispo (autre que l’hotel et la date de réservation évidemment) dans l’exemple :<br /> nom prénom<br /> 3 derniers chiffres du téléphone<br /> 4 derniers chiffres CB.<br /> Enfin, comme dit au dessus, il faut des conditions bien spécifique pour que ce problème se pose réellement…<br /> En gros à moins de s’être fait pirater avant (et là y’a plus grave qu’un hôtel à priori) on s’en bas les c. royalement…
Precrime
Tu as oublié le &lt;/troll off&gt;<br /> le nom et prénom rentre bien sur GDPR, url chrifrée ou pas…
elninho
Ce que je comprends, c’est que ce sont justement les systèmes de réservation des hôtels eux-mêmes qui sont davantage à risque; c’est-à-dire quand on passe directement par eux, et non via une plateforme du type Booking (qui ne sont pas non plus exemptes de reproches).
LeGrosWinnie
Et ? Ça te fait une belle jambe de savoir comment un mec s’appelle vu que t’as pas sa photo, ni son adresse, ni rien en fait…<br /> D’ailleurs suffit de se promener dans la rue pour savoir qui habite où en fait… Et ça te sert à rien vu que tu peux relier l’adresse à personne sauf si tu attends de voir sortir le mec, que tu le prends en photo, etc.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page