Crédits – Peter Harrison vis Flickr CCSelon une étude de Symantec publiée mercredi, plus de deux hôtels sur trois (67% exactement) partagent par inadvertance les données de leurs utilisateurs. Un chiffre affolant qui témoigne pourtant d’une faille à grande échelle, le test faisant état de 1 500 hôtels testés à travers près de 54 pays.

Parmi les informations que les hôtels laissent fuiter, on retrouve en vrac, des noms, des adresses mail, des références de réservations, mais aussi des numéros de passeports ou des coordonnées bancaires. Autant de données particulièrement sensibles, qui pourraient permettre à des tiers de “se connecter à une réservation, voir les détails personnels, et même simplement annuler la réservation”. Selon l’étude publiée par Symantec, tous les hôtels concernés par cette faille de sécurité, peu importe leur standing, disposent bien d’une politique de confidentialité, mais “aucun n’a fait état de ce fonctionnement de manière explicite”.

Selon l’étude, les fuites surviennent généralement lorsque l’hôtel envoie à l’utilisateur un email de confirmation après une réservation. Le lien présent dans le corps du message, qui permet souvent de consulter directement sa réservation contient de nombreuses informations sensibles, et n’est, le plus souvent pas ou peu sécurisé. Dans les cas les plus extrêmes, non seulement ces liens ne nécessitent pas de connexion préalable pour accéder aux donnés de réservations, mais en plus, le nom ou l’adresse mail du client sera directement présent dans l’URL. Pour remédier à ce problème, Symantec préconise de limiter les informations transmises au site de l’hôtel lors de la réservation, notamment en utilisant un VPN en cas de connexion depuis un hôtel public.