70% des sites web d’hôtels divulgueraient vos données personnelles

À l’approche des vacances d’été (oui, c’est bientôt), Symantec publie une étude inquiétante : près de 70% des sites web d’hôtels divulgueraient vos données personnelles à des tiers.

hotel divulgue donnees personnelles

Vous réservez vos hôtels ou logements de vacances ? Méfiez-vous des sites web d’hôtels. La société Symantec publie une étude menée par Candid Wueest, chercheur en sécurité. Elle révèle que 67% des sites web d’hôtels (1500 établissements analysés aux USA, au Canada et en Union Européenne) divulgueraient les informations personnelles de leurs clients à des sites tiers (annonceurs, sociétés d’analyses, sondages, etc.). Symantec précise toutefois que ces données transiteraient de manière involontaire.

Les données transmises figurent dans l’email de confirmation d’une réservation. Problème : ces emails ne font l’objet d’aucune mesure de sécurité, les sites tiers peuvent même se connecter directement à la page de réservation. Identité, numéro de passeport, adresse postale, numéro de téléphone, numéro de réservation ou encore informations bancaires se retrouvent en circulation, à l’insu des clients. Les sites tiers peuvent même annuler une réservation à la place d’un voyageur.

Parmi les hôtels étudiés par Candid Wueest, on compte des établissements abordables, mais également des grandes chaînes de renom ainsi que des cinq étoiles. Les comparateurs d’hôtels et moteurs de réservation, plus sécurisés, présenteraient des risques similaires, mais dans une moindre mesure (40%).

Attention aux emails de confirmation de réservation

La fuite des données s’explique, comme souvent, par un procédé simple. 57% des sites de l’étude envoient un email de confirmation de réservation aux clients. Un lien direct permet d’accéder à cette réservation. Il contient un code ainsi que l’adresse électronique du client présentés sous cette forme :

https://booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld

Problème : les annonceurs qui intègrent des publicités dans ces emails accèdent également à ce code et cette adresse puis aux informations confidentielles du client.

Autre phénomène à risque : 29% des sites analysés envoient des liens non chiffrés (HTTP). Un hacker pourrait alors intercepter les données de manière assez simple.

En réponse aux alertes de Symantec, les dirigeants des sites hôteliers « ont été très lents à reconnaître » le problème. 25% seulement des responsables de la protection des données (DPO) ont répondu dans les six semaines. Pourtant, la société recommande simplement d’utiliser des liens chiffrés (HTTPS) et de s’assurer qu’aucune information personnelle ne figure dans l’URL.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Firefox corrige une deuxième faille zero-day en 2 jours

Firefox vient de publier une nouvelle mise à jour, 48 heures environ après celle qui corrigeait une première faille zero-day. Le navigateur passe en version 67.0.4 qui corrige une deuxième vulnérabilité. Celle-ci est directement liée à la première. Un chercheur en sécurité du…

Voici 50 mots de passe que vous ne devriez jamais utiliser

Les mots de passe restent la modalité de sécurité la plus utilisée sur internet – malgré l’émergence d’alternatives. Or, à chaque nouvelle fuite de données, on se rend compte qu’un nombre inquiétant d’internautes négligent leurs mots de passe. Ainsi on…

Dell : une faille de sécurité permet de pirater ses PC à distance

Un chercheur en sécurité a identifié une faille de sécurité qui touche les PC Dell et plus précisément l’application SupportAssist qui est installée par défaut sur toutes les machines du constructeur. Avec cette faille, les ordinateurs portables et de bureau…