Des chercheurs de Symantec ont découvert des centaines de sites web d’hôtels, qui transfèrent des données de réservation à des tiers et des annonceurs.
La confirmation automatique de votre réservation d’hôtel peut être souvent visionnée par d’autres personnes. Voilà ce qu’écrit Symantec dans un rapport. L’entreprise de sécurité a découvert des bugs sur les sites web de centaines d’hôtels, susceptibles de provoquer des fuites de données, telles des noms, des numéros de téléphone et de passeport, ainsi que des adresses au départ de confirmations de réservation. Selon Candid Wueest, l’un des chercheurs de Symantec, l’équipe a passé au crible les sites web de 1.500 hôtels dans 54 pays et a trouvé des problèmes sur deux tiers d’entre eux.
Les hôtels sont une cible favorite des pirates, parce qu’ils traitent beaucoup de données. Comme l’ont démontré de précédentes cyber-attaques, ils ne sont pas non plus toujours parfaitement sécurisés. C’est ainsi qu’en novembre dernier encore, l’hôtel Mariott avait dû admettre que les données de 383 millions de clients avaient été volées suite à l’une des plus importantes fuites de données de l’histoire. Mariott ne figurait cette fois pas au nombre des sites web examinés par Symantec.
Mail de confirmation
Selon Symantec, l’un des problèmes rencontrés réside dans le lien que les hôtels envoient à leurs clients. Sur 850 sites web d’hôtels, aucune forme d’authentification ne s’avère nécessaire pour accéder à ces pages, ce qui est regrettable quand on sait que ces dernières contiennent notamment des noms, adresses et, éventuellement, des données de cartes de crédit. Avec ce lien, tout un chacun peut donc voir ces données, en ce compris des annonceurs et firmes d’analyse, qui peuvent aussi accéder à ces pages.
De plus, il est possible pour ces tiers et pour des pirates de rechercher des réservations spécifiques. Le numéro de réservation figure en effet souvent directement dans le lien, ce qui fait qu’un hacker potentiel peut, avec ce numéro, solliciter toutes les données sur le client concerné. D’autres sites web encore pourraient être aisément forcés, ce qui permettrait à une personne mal intentionnée de tester toute combinaison possible du numéro de réservation, pour finalement aboutir sur la page spécifique.
Wueest a pris contact avec les hôtels, mais déclare qu’un quart d’entre eux a ignoré ses avertissements. Il leur conseille de ne pas intégrer d’informations de réservation dans l’URL et d’utiliser de meilleures normes de sécurité.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici