70% des sites web d’hôtels divulgueraient vos données personnelles

À l’approche des vacances d’été (oui, c’est bientôt), Symantec publie une étude inquiétante : près de 70% des sites web d’hôtels divulgueraient vos données personnelles à des tiers.

hotel divulgue donnees personnelles

Vous réservez vos hôtels ou logements de vacances ? Méfiez-vous des sites web d’hôtels. La société Symantec publie une étude menée par Candid Wueest, chercheur en sécurité. Elle révèle que 67% des sites web d’hôtels (1500 établissements analysés aux USA, au Canada et en Union Européenne) divulgueraient les informations personnelles de leurs clients à des sites tiers (annonceurs, sociétés d’analyses, sondages, etc.). Symantec précise toutefois que ces données transiteraient de manière involontaire.

Les données transmises figurent dans l’email de confirmation d’une réservation. Problème : ces emails ne font l’objet d’aucune mesure de sécurité, les sites tiers peuvent même se connecter directement à la page de réservation. Identité, numéro de passeport, adresse postale, numéro de téléphone, numéro de réservation ou encore informations bancaires se retrouvent en circulation, à l’insu des clients. Les sites tiers peuvent même annuler une réservation à la place d’un voyageur.

Parmi les hôtels étudiés par Candid Wueest, on compte des établissements abordables, mais également des grandes chaînes de renom ainsi que des cinq étoiles. Les comparateurs d’hôtels et moteurs de réservation, plus sécurisés, présenteraient des risques similaires, mais dans une moindre mesure (40%).

Attention aux emails de confirmation de réservation

La fuite des données s’explique, comme souvent, par un procédé simple. 57% des sites de l’étude envoient un email de confirmation de réservation aux clients. Un lien direct permet d’accéder à cette réservation. Il contient un code ainsi que l’adresse électronique du client présentés sous cette forme :

https://booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld

Problème : les annonceurs qui intègrent des publicités dans ces emails accèdent également à ce code et cette adresse puis aux informations confidentielles du client.

Autre phénomène à risque : 29% des sites analysés envoient des liens non chiffrés (HTTP). Un hacker pourrait alors intercepter les données de manière assez simple.

En réponse aux alertes de Symantec, les dirigeants des sites hôteliers « ont été très lents à reconnaître » le problème. 25% seulement des responsables de la protection des données (DPO) ont répondu dans les six semaines. Pourtant, la société recommande simplement d’utiliser des liens chiffrés (HTTPS) et de s’assurer qu’aucune information personnelle ne figure dans l’URL.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Voici le top 10 des mots de passe les plus faciles à pirater

Le top 10 des mots de passe les plus vulnérables au piratage a été dressé par une étude britannique. Pour mettre sur pied cette liste, le National cyber security centre (NCSC) s’est intéressé aux 100 000 mots de passe les plus…

Internet Explorer : Microsoft refuse de corriger une faille de sécurité critique

Internet Explorer est victime d’une nouvelle faille de sécurité critique, rapporte un chercheur en cybersécurité. Malgré les risques encourus par les utilisateurs, Microsoft refuse de proposer un correctif dans les plus brefs délais. Pour forcer la main de la firme, le chercheur a révélé l’existence de…

Téléchargez GHIDRA et prenez vous pour un espion de la NSA

Le logiciel GHIDRA utilisé par la NSA pour repérer et contrer des programmes malveillants est désormais disponible gratuitement pour tous. Open-source, il peut même être amélioré par la communauté.  Comme promis, la National Security Agency (NSA) des États-Unis a rendu…