Selon une étude publiée par Symantec, environ deux tiers des sites internet de réservation d’hôtels divulgueraient involontairement vos données personnelles des clients. Ces informations privées seraient largement accessibles aux annonceurs, sociétés d’analyses et même aux petits hackers.
Deux tiers des sites internet d’hôtels divulgueraient les données personnelles de leurs clients selon une étude de Candid Wueest, publiée par la société Symantec.
Uniquement des hôtels américains et européens
L’enquête a pris en compte 1500 hôtels situés aux Etats Unis, au Canada et dans l’Union Européenne. Elle a permis d’établir que 67% des sites de réservation d’hôtels rendent involontairement accessibles les données personnelles des utilisateurs. Les conclusions de cette étude sont certainement un coup de massue pour l’Union Européenne qui vante tant son règlement général sur la protection des données (RGPD).
Des infos à la portée des annonceurs et hackers
Grâce à cette faille des sites web de réservation de chambre d’hôtels, n’importe qui peut récupérer des informations privées du client ou du voyageur. Il s’agit en premier lieu des annonceurs et des sociétés d’analyses. Même le premier hacker venu pourrait se « régaler ».
Les coordonnées personnelles se retrouvent en partie dans l’URL. Ce sont la date de séjour, le nom, les adresses électronique et postale, le numéro de téléphone portable, les données bancaires (quatre derniers chiffres de la carte de crédit, son type et sa date d’expiration) et le numéro de passeport, entre autres.
URL et liens non cryptés pointés du doigt
D’après l’étude de Candid Wueest, environ 57 % des sites testés envoient un email de confirmation aux clients avec un lien direct d’accès à la réservation. Tout naturellement, le code de réservation et l’adresse électronique de l’utilisateur sont communiqués dans l’URL. Ainsi, une personne malintentionnée travaillant pour un annonceur pourrait subtiliser ces données à d’autres fins comme il a accès aux codes de réservation et aux adresses e-mail.
Aussi, Candid Wueest a constaté que 29 % des sites d’hôtels envoyaient des courriels de confirmation avec des liens non cryptés. Un hacker a alors le loisir d’intercepter les données d’identification du client ayant cliqué sur le lien HTTP dans le mail pour afficher ou modifier sa réservation.
Les hôtels se refusent à tout commentaire
Enfin, Candid Wueest a déploré le fait que certains hôtels indexés dans cette enquête, parmi les plus huppés du monde, « ont été très lents à reconnaître » ce problème. Pis, d’autres ont carrément décliné des sollicitations pour quelques explications.