70% des sites web d’hôtels divulgueraient vos données personnelles

 

À l’approche des vacances d’été (oui, c’est bientôt), Symantec publie une étude inquiétante : près de 70% des sites web d’hôtels divulgueraient vos données personnelles à des tiers.

hotel divulgue donnees personnelles

Vous réservez vos hôtels ou logements de vacances ? Méfiez-vous des sites web d’hôtels. La société Symantec publie une étude menée par Candid Wueest, chercheur en sécurité. Elle révèle que 67% des sites web d’hôtels (1500 établissements analysés aux USA, au Canada et en Union Européenne) divulgueraient les informations personnelles de leurs clients à des sites tiers (annonceurs, sociétés d’analyses, sondages, etc.). Symantec précise toutefois que ces données transiteraient de manière involontaire.

Les données transmises figurent dans l’email de confirmation d’une réservation. Problème : ces emails ne font l’objet d’aucune mesure de sécurité, les sites tiers peuvent même se connecter directement à la page de réservation. Identité, numéro de passeport, adresse postale, numéro de téléphone, numéro de réservation ou encore informations bancaires se retrouvent en circulation, à l’insu des clients. Les sites tiers peuvent même annuler une réservation à la place d’un voyageur.

Parmi les hôtels étudiés par Candid Wueest, on compte des établissements abordables, mais également des grandes chaînes de renom ainsi que des cinq étoiles. Les comparateurs d'hôtels et moteurs de réservation, plus sécurisés, présenteraient des risques similaires, mais dans une moindre mesure (40%).

Attention aux emails de confirmation de réservation

La fuite des données s’explique, comme souvent, par un procédé simple. 57% des sites de l’étude envoient un email de confirmation de réservation aux clients. Un lien direct permet d’accéder à cette réservation. Il contient un code ainsi que l’adresse électronique du client présentés sous cette forme :

https://booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld

Problème : les annonceurs qui intègrent des publicités dans ces emails accèdent également à ce code et cette adresse puis aux informations confidentielles du client.

Autre phénomène à risque : 29% des sites analysés envoient des liens non chiffrés (HTTP). Un hacker pourrait alors intercepter les données de manière assez simple.

En réponse aux alertes de Symantec, les dirigeants des sites hôteliers “ont été très lents à reconnaître” le problème. 25% seulement des responsables de la protection des données (DPO) ont répondu dans les six semaines. Pourtant, la société recommande simplement d’utiliser des liens chiffrés (HTTPS) et de s’assurer qu’aucune information personnelle ne figure dans l’URL.



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
kaspersky smartphone
Kaspersky va lancer un smartphone “impossible à pirater”

Kaspersky Lab est en train de développer un smartphone présenté comme “impossible à pirater”, selon le PDG de la firme Eugène Kaspersky. La firme semble désormais mettre toute son énergie dans de nouvelles initiatives autour de la vie privée et…

top 200 pires mots passe 2020
Voici le top 200 des pires mots de passe de 2020

Le top 200 des pires mots de passe de l’année 2020 est désormais disponible. Comme tous les ans, l’indémodable 123456 arrive en tête du classement. Parmi les thématiques favorites des internautes, on trouve le divertissement, les grossièretés, les prénoms ou les suites de chiffres….

tesla powerwall faille
Tesla : une importante faille de sécurité menace les batteries Powerwall

Des chercheurs en sécurité informatique ont détecté une faille de sécurité importante dans le Tesla Backup Gateway, le système qui gère les connexions au réseau des Powerwall, les batteries de stockage d’énergie domestiques du constructeur. En 2015, Tesla a lancé…

carte sim arnaque
Elle se fait pirater sa carte SIM et perd 17 000 €

Un pirate a réussi à pirater la carte SIM d’une utilisatrice à de multiples reprises, interceptant à sa place les SMS de double authentification. Malgré de nombreuses tentatives pour stopper le processus, le hacker a réussi à voler 17 000…