Sécurité : Les réservations et les données personnelles des clients font l’objet de fuites vers les sociétés d’analyse de données et de publicité. Les hôtels peuvent être poursuivis pour violation du RGPD.
Deux sites hôteliers sur trois divulguent par inadvertance un torrent d’informations sur les clients à des tiers, donnant à ces agences le pouvoir de consulter, de modifier ou d’annuler des réservations, observent des chercheurs.
Les chercheurs en cybersécurité de Symantec déclarent dans une étude portant sur plus de 1500 hôtels répartis dans 54 pays que 67% des sites Web des hôtels divulguent les réservations et plus encore aux réseaux publicitaires et aux sociétés d’analyse de données.
Des tiers à l’écoute et données partagées sans consentement
Symantec indique que ces informations – probablement partagées par inadvertance au cours des processus de tracking publicitaires des utilisateurs – pourraient permettre à ces tiers non seulement d’accéder aux informations des clients, mais aussi de se connecter aux réservations, d’accéder à des détails sensibles, et même d' »annuler complètement les réservations ».
Les hôtels concernés sont aussi divers que des deux étoiles situés dans des régions éloignées et rurales que des hôtels basés dans des centres de villégiature cinq étoiles. Les chaînes hôtelières sont également impliquées dans ces incidents de sécurité.
Alors qu’une fraction des hôtels n’a divulgué que des valeurs numériques et des dates de réservation, la majorité d’entre eux dévoilaient un éventail beaucoup plus large d’informations sur les clients, y compris les noms complets, les adresses électroniques, les adresses physiques et les numéros de téléphone.
Symantec ajoute que 57% des hôtels inclus dans l’étude envoient un courriel avec un lien de réservation direct aux clients. Problème, de nombreux sites Web d’hôtels intègrent du contenu publicitaire sur leurs pages Web. Conséquence : plus de 30 fournisseurs de services peuvent également obtenir ce lien.
Plus de 176 requêtes ont été générées par réservation en moyenne et les liens statiques utilisés pourraient permettre aux annonceurs, aux sociétés d’analyse de données, aux moteurs de recherche et aux réseaux sociaux d’accéder à ces détails de réservation directe.
« Il existe d’autres scénarios dans lesquels les données de réservation peuvent également faire l’objet de fuites » explique la société de cybersécurité. « Certains sites transmettent l’information au cours du processus de réservation, tandis que d’autres la divulguent lorsque le client se connecte manuellement sur le site Web. D’autres génèrent un jeton d’accès, qui est ensuite transmis dans l’URL au lieu des informations d’identification, ce qui n’est pas non plus une bonne pratique. »
RGPD es-tu là ?
L’équipe relève également un certain nombre d’autres failles de sécurité. Au total, 29% des hôtels n’ont pas chiffré les liens initiaux contenant les identifiants de réservation et les références des clients – ce qui pourrait permettre à des pirates d’intercepter et de voler ces données – et de multiples systèmes de réservation de sites Web étaient vulnérables aux attaques de force brute.
Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD), les hôtels – comme toutes les autres entreprises traitant les données des citoyens européens – doivent garder le contrôle de la collecte, du stockage et du traitement de leurs données.
Symantec affirme que bon nombre des hôtels touchés par ce problème « ont été très lents à le reconnaître, et encore moins à l’aborder. » Ainsi 25% des responsables de la vie privée (DPO) n’ont pas répondu aux conclusions des chercheurs dans les six semaines. Ceux qui ont répondu ont mis en moyenne 10 jours pour le faire.
« Le fait que ce problème existe, malgré l’entrée en vigueur du GDPR en Europe il y a près d’un an, suggère que la mise en œuvre du GDPR n’a pas complètement pris en compte la manière dont les organisations répondent aux fuites de données » considère Symantec.
« Plus de 200 000 cas de violations du RGPD, de plaintes et d’atteintes à la protection des données ont été signalés jusqu’à présent, et les données personnelles des utilisateurs demeurent exposées. »
Et un cas illustre déjà les risques pour les données des failles dans les systèmes des hôtels. L’an dernier, Marriott a reconnu une intrusion. Des cyberattaquants ont pu accéder aux bases de données des clients depuis 2014, soit 500 millions de personnes.