Deux tiers des sites internet d'hôtels divulgueraient vos données personnelles

le 12 avril 2019
 0
hotel-chambre-pixabay.jpg
Pixabay

La société Symantec a publié une inquiétante étude qui révèle que près de 70 % des sites web d'hôtels permettraient l'accès à des données personnelles importantes de votre réservation.

De nombreux sites internet d'hôtels sont passés au crible de Candid Wueest, auteur d'une étude alarmante publiée par Symantec. Le chercheur révèle que sur les 1 500 hôtels qu'il a pu analyser, 67% divulgueraient involontairement des informations personnelles de leurs clients vers des sites tiers, qui peuvent aussi bien être des annonceurs ou des sociétés d'analyse. L'étude porte sur des hôtels situés aux États-Unis, au Canada et même au sein de l'Union européenne, tombant sous le coup du règlement général sur la protection des données (RGPD) pour ces derniers.

Une possibilité d'annulation la réservation pour la personne qui y aurait accès


S'il est courant qu'un annonceur ait accès aux habitudes de navigation des utilisateurs, dans ce cas précis, la limite a largement été franchie. La société spécialisée dans les logiciels informatiques note dans son étude que les informations partagées par les sites des hôtels pouvaient directement permettre aux services tiers de se connecter sur la page de la réservation, de prendre connaissance des informations personnelles du voyageur, et même d'annuler sa réservation.

Alors que la faille concerne aussi bien des hôtels premier prix que des hôtels cinq étoiles, de nombreux établissements concernés par le problème « ont été très lents à le reconnaître », précise Candid Wueest. Certains hôtels font partie de grandes chaînes hôtelières.

Des informations personnelles contenues dans l'URL


Si certains sites ne révélaient qu'une valeur numérique et la date de séjour sans aucune autre information, la majorité a divulgué des données personnelles comme le nom, les adresses électronique et postale, le numéro de téléphone portable, les données bancaires (quatre derniers chiffres de la carte de crédit, son type et sa date d'expiration) ainsi que le numéro de passeport.

booking_graphic.png
Un exemple de confirmation de réservation indiquant les données de réservation d'un client susceptibles d'être divulguées (Crédits : Symantec)

La fuite de ces données se fait naturellement et par un procédé involontaire d'une simplicité déconcertante. Sur l'ensemble des sites testés par Symantec, 57 % d'entre eux envoient un email de confirmation de réservation aux clients, avec un lien direct d'accès à cette réservation. Le code de réservation et l'adresse électronique du client sont transmis dans l'URL, ce qui n'est pas dangereux en soi. Le problème, c'est que des tiers intégrant du contenu publicitaire dans les e-mails ont ainsi accès aux code de réservation et aux adresses e-mail. Une personne malintentionnée n'aurait besoin que de ces deux données pour trouver les autres.

Les comparateurs d'hôtels et moteurs de réservation seraient, eux, plus sécurisés. Deux sur cinq auraient tout de même divulgué des informations d'identification.

Les sites envoient des liens non cryptés


Un autre problème que Symantec a pu constater est que 29 % des sites d'hôtels envoyaient des courriels de confirmation qui contenaient des liens non cryptés. Un hacker potentiel pourrait ainsi intercepter les données d'identification du voyageur ayant cliqué sur le lien HTTP dans le mail pour afficher ou modifier sa réservation. L'étude indique que l'utilisation d'un VPN aiderait à protéger la connexion en cas d'utilisation d'un Wi-Fi public.

Si vous avez récemment réservé un hôtel en ligne et que l'URL contenue dans votre mail de confirmation ressemble à celle-ci, https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld, il est possible que les données de votre réservation soient exposées. La société recommande aux sites de réservation d'utiliser des liens cryptés HTTPS et de s'assurer qu'aucune information personnelle d'identification ne soit raccrochée à l'URL.

Symantec déplore enfin que seuls 25 % des responsables de la protection des données (les fameux DPO) ont répondu aux sollicitations de la société dans les six semaines.

Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Dernières actualités

Notre sélection des meilleurs films et séries à voir en avril sur Netflix et Amazon
Sophia, le robot humanoïde, parlera IA lors d'un Sommet Digital à Kigali
Samsung : une mise à jour du Galaxy S10 apporte un mode photo de nuit
La PS5 proposera
Des satellites bientôt mis en orbite pour identifier les plus gros pollueurs de la planète
Informatique quantique : où en est-on ?
Test Huawei P30 Pro : le nouveau champion de la photographie
Google Chrome : un mode Lecture pourrait bientôt être déployé
Redécouvrez l'intérieur de la cathédrale Notre-Dame grâce à la réalité virtuelle
BlackBerry Messenger (BBM) va fermer ses portes le 31 mai prochain
Salon de Shanghai - Lotus Type 130, l'hypercar qui pourrait faire renaître la marque
Google dévoile son premier assistant connecté pour la voiture : Anker Roav Bolt
Des chercheurs pensent que les voitures volantes permettront de sauver l’environnement
Les vélos électriques ont vu leurs ventes augmenter de 21% en 2018
Rage 2 ne sera pas un jeu service, mais aura droit à du contenu additionnel gratuit
scroll top