À l’approche des vacances d’été (oui, c’est bientôt), Symantec publie une étude inquiétante : près de 70% des sites web d’hôtels divulgueraient vos données personnelles à des tiers.

hotel divulgue donnees personnelles

Vous réservez vos hôtels ou logements de vacances ? Méfiez-vous des sites web d’hôtels. La société Symantec publie une étude menée par Candid Wueest, chercheur en sécurité. Elle révèle que 67% des sites web d’hôtels (1500 établissements analysés aux USA, au Canada et en Union Européenne) divulgueraient les informations personnelles de leurs clients à des sites tiers (annonceurs, sociétés d’analyses, sondages, etc.). Symantec précise toutefois que ces données transiteraient de manière involontaire.

Les données transmises figurent dans l’email de confirmation d’une réservation. Problème : ces emails ne font l’objet d’aucune mesure de sécurité, les sites tiers peuvent même se connecter directement à la page de réservation. Identité, numéro de passeport, adresse postale, numéro de téléphone, numéro de réservation ou encore informations bancaires se retrouvent en circulation, à l’insu des clients. Les sites tiers peuvent même annuler une réservation à la place d’un voyageur.

Parmi les hôtels étudiés par Candid Wueest, on compte des établissements abordables, mais également des grandes chaînes de renom ainsi que des cinq étoiles. Les comparateurs d’hôtels et moteurs de réservation, plus sécurisés, présenteraient des risques similaires, mais dans une moindre mesure (40%).

Attention aux emails de confirmation de réservation

La fuite des données s’explique, comme souvent, par un procédé simple. 57% des sites de l’étude envoient un email de confirmation de réservation aux clients. Un lien direct permet d’accéder à cette réservation. Il contient un code ainsi que l’adresse électronique du client présentés sous cette forme :

https://booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld

Problème : les annonceurs qui intègrent des publicités dans ces emails accèdent également à ce code et cette adresse puis aux informations confidentielles du client.

Autre phénomène à risque : 29% des sites analysés envoient des liens non chiffrés (HTTP). Un hacker pourrait alors intercepter les données de manière assez simple.

En réponse aux alertes de Symantec, les dirigeants des sites hôteliers « ont été très lents à reconnaître » le problème. 25% seulement des responsables de la protection des données (DPO) ont répondu dans les six semaines. Pourtant, la société recommande simplement d’utiliser des liens chiffrés (HTTPS) et de s’assurer qu’aucune information personnelle ne figure dans l’URL.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
McAfee : l’antivirus a une énorme faille de sécurité

L’antivirus McAfee est victime d’une énorme faille de sécurité qui permet de contourner les mécanismes d’autodéfense du logiciel sur Windows. Et d’exécuter du code arbitraire dans le contexte des services McAfee. Une nouvelle faille critique touche trois éditions de l’antivirus…

Sécurité : Huawei subirait un million de cyberattaques par jour

D’après le chef de la sécurité de Huawei, l’entreprise repousserait une quantité impressionnante d’attaques informatiques. Des attaques à travers le monde entier, et des autorités américaines qui n’y seraient pas étrangères, selon l’entreprise. Si Huawei doit faire face à l’ire…