Deux tiers des sites internet d'hôtels divulgueraient vos données personnelles

Alexandre Boero Contributeur
12 avril 2019 à 07h28
0
hotel-chambre-pixabay.jpg
Pixabay

La société Symantec a publié une inquiétante étude qui révèle que près de 70 % des sites web d'hôtels permettraient l'accès à des données personnelles importantes de votre réservation.

De nombreux sites internet d'hôtels sont passés au crible de Candid Wueest, auteur d'une étude alarmante publiée par Symantec. Le chercheur révèle que sur les 1 500 hôtels qu'il a pu analyser, 67% divulgueraient involontairement des informations personnelles de leurs clients vers des sites tiers, qui peuvent aussi bien être des annonceurs ou des sociétés d'analyse. L'étude porte sur des hôtels situés aux États-Unis, au Canada et même au sein de l'Union européenne, tombant sous le coup du règlement général sur la protection des données (RGPD) pour ces derniers.

Une possibilité d'annulation la réservation pour la personne qui y aurait accès

S'il est courant qu'un annonceur ait accès aux habitudes de navigation des utilisateurs, dans ce cas précis, la limite a largement été franchie. La société spécialisée dans les logiciels informatiques note dans son étude que les informations partagées par les sites des hôtels pouvaient directement permettre aux services tiers de se connecter sur la page de la réservation, de prendre connaissance des informations personnelles du voyageur, et même d'annuler sa réservation.

Alors que la faille concerne aussi bien des hôtels premier prix que des hôtels cinq étoiles, de nombreux établissements concernés par le problème « ont été très lents à le reconnaître », précise Candid Wueest. Certains hôtels font partie de grandes chaînes hôtelières.

Des informations personnelles contenues dans l'URL

Si certains sites ne révélaient qu'une valeur numérique et la date de séjour sans aucune autre information, la majorité a divulgué des données personnelles comme le nom, les adresses électronique et postale, le numéro de téléphone portable, les données bancaires (quatre derniers chiffres de la carte de crédit, son type et sa date d'expiration) ainsi que le numéro de passeport.

booking_graphic.png
Un exemple de confirmation de réservation indiquant les données de réservation d'un client susceptibles d'être divulguées (Crédits : Symantec)

La fuite de ces données se fait naturellement et par un procédé involontaire d'une simplicité déconcertante. Sur l'ensemble des sites testés par Symantec, 57 % d'entre eux envoient un email de confirmation de réservation aux clients, avec un lien direct d'accès à cette réservation. Le code de réservation et l'adresse électronique du client sont transmis dans l'URL, ce qui n'est pas dangereux en soi. Le problème, c'est que des tiers intégrant du contenu publicitaire dans les e-mails ont ainsi accès aux code de réservation et aux adresses e-mail. Une personne malintentionnée n'aurait besoin que de ces deux données pour trouver les autres.

Les comparateurs d'hôtels et moteurs de réservation seraient, eux, plus sécurisés. Deux sur cinq auraient tout de même divulgué des informations d'identification.

Les sites envoient des liens non cryptés

Un autre problème que Symantec a pu constater est que 29 % des sites d'hôtels envoyaient des courriels de confirmation qui contenaient des liens non cryptés. Un hacker potentiel pourrait ainsi intercepter les données d'identification du voyageur ayant cliqué sur le lien HTTP dans le mail pour afficher ou modifier sa réservation. L'étude indique que l'utilisation d'un VPN aiderait à protéger la connexion en cas d'utilisation d'un Wi-Fi public.

Si vous avez récemment réservé un hôtel en ligne et que l'URL contenue dans votre mail de confirmation ressemble à celle-ci, https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld, il est possible que les données de votre réservation soient exposées. La société recommande aux sites de réservation d'utiliser des liens cryptés HTTPS et de s'assurer qu'aucune information personnelle d'identification ne soit raccrochée à l'URL.

Symantec déplore enfin que seuls 25 % des responsables de la protection des données (les fameux DPO) ont répondu aux sollicitations de la société dans les six semaines.

5 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

Journée de la communauté Clubic.com : c'était samedi, c'était comment ?
Le Conseil constitutionnel confirme que l'huile de palme n'est pas un biocarburant
M6 victime d'une cyberattaque affectant l'ensemble des employés du groupe
Fortnite avalé par un trou noir... en pause avant un nouveau chapitre ?
L'énergie renouvelable est la principale source d'électricité au Royaume-Uni
Le géant de la réservation hôtelière Booking quitte lui aussi le navire Libra
Xavier Niel défend le projet Libra... dans lequel il a investi
Linky : une étude de l'ANFR ne relève aucune exposition anormale aux ondes radioélectriques
Gears 5 : 640 jours de ban pour des ragequit à répétition...
FUELL annonce l'arrivée de ses vélos électriques en France pour début novembre

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top