Une étude alarmante de la Symantec vient de révéler que près de 70% des hôtels du monde entier ont partagé par inadvertance des données personnelles appartenant à leurs clients à des sites tiers.
Un an auparavant, le RGPD, la loi de protection des données, entrait en vigueur au niveau européen. Pour son premier anniversaire, la dernière enquête du Symantec ne dresse pas un bilan sans faute depuis sa mise en application. En effet, la société spécialisée dans les logiciels informatiques a révélé, à travers la voix d’un de ses chercheurs, Candid Wueest, que 67% des hôtels de 54 pays différents ont fait fuiter des codes de référence de réservation et donc des données personnelles vers des sites tiers majoritairement publicitaires.
Le chercheur a analysé plus de 1 500 sites d’hôtels, allant de l’établissement indépendant qui présente deux étoiles, à l’hôtel luxueux cinq fois étoilé. Parmi eux, certains sont de grandes chaînes bien connues. L’étude pointe également du doigt cinq moteurs de recherche de voyages.
Le lien de confirmation de réservation en cause
Une minorité d’établissements se sont avérés être irréprochables dans la préservation des données car leur système de réservation ne révèle qu’une valeur numérique sans donner d’informations personnelles. Mais la grande majorité à l’inverse a laissé fuiter des données aussi précises que le nom complet, l’adresse électronique, l’adresse postale, le numéro de téléphone portable, les quatre derniers chiffres de la carte de crédit, type de carte et date d'expiration et numéro de passeport.
Comment autant de données peuvent se retrouver mises à nues et partagées aussi largement ? L’étude Symantec nous révèle que plus de la moitié des sites testés envoient un courrier électronique de confirmation aux clients dans lequel ils reçoivent un lien d'accès direct à leur réservation. Le client n’a ainsi pas besoin de se connecter et passe directement sur la page de sa réservation. C’est ce lien de confirmation qui est incriminé.
Ce système en apparence confortable pour le client, est pourtant peu sécurisé. En effet, son code de réservation et son adresse mail sont souvent intégrés à l’URL. Problème, de nombreux contenus sponsorisés s’intègrent directement sur cette page. En d’autres termes, l’accès direct aux informations de la clientèle est directement partagé via le champ référent de la requête HTTP. Cette porte ouverte aux annonceurs et aux services tiers pourrait ainsi leur permettre de se connecter à une réservation, d’afficher des informations personnelles et même d’annuler la réservation, si ces derniers étaient mal intentionnés.
Une tâche d'huile pour les un an du RGPD
Pour éviter ce type de faille, il suffirait pourtant de chiffrer le lien initial envoyé dans le courrier électronique contenant l’ID. Dans ce cas de figure, l’étude Symantec semble minimiser les conséquences et assure que les données ne sont partagées qu'avec des fournisseurs tiers auxquels les sites web d'hôtels ont fait confiance. L’étude affirme toutefois que les sites de comparaison d'hôtels et les moteurs de réservation semblent légèrement plus sécurisés. Parmi les cinq services testés, seuls deux ont utilisé un lien de connexion sans chiffrement et ainsi divulgué des informations confidentielles.
Pour rappel, le RGPD soufflera ses un an le 25 mai prochain. Depuis lors, plus de 200 000 cas de violations du RPGD, de plaintes et de violations de données ont été signalés nous indique Symantec.