La collecte de données personnelles est monnaie courante dans le secteur du tourisme et des loisirs. Si les acteurs du domaine tels que les hôtels, les casinos ou les complexes touristiques s’efforcent de sécuriser leurs systèmes d’information, personne n’est à l’abri d’un vol de données. Mais comment réagir face à ces cybermenaces ?
Le vol de données dans le secteur du tourisme ? Un jeu d’enfant !
On estime à 70% le pourcentage d’hôtels qui exposent nos données personnelles, un chiffre important dévoilé par une étude menée par Symantec auprès de 1500 hôtels répartis sur 54 pays d’Amérique du Nord et d’Europe. 5 moteurs de recherche de voyages étaient également impactés. Tout le secteur du tourisme semble ainsi touché par ce problème majeur de cybersécurité, et cela, sans distinction de lieu ou de standing.
La cause principale ? Les emails de confirmation que l’on reçoit après chaque réservation. En général, ils contiennent un lien actif qui permet d’accéder directement à sa réservation sur le site de l’hôtel ou de la compagnie de transport. Pour simplifier la vie du client, son code de réservation et son email sont souvent intégrées à l’URL. Or, de nombreux hôtels partagent ces informations avec des tiers. Si ces derniers sont mal intentionnés, s’emparer de l’adresse, du nom, du numéro de passeport et du numéro de téléphone du client est un jeu d’enfant. Et il y a pire puisque certains établissements ne se donnent même pas la peine de chiffrer les liens inclus dans les emails de confirmation. Une aubaine pour les hackers !
Quels risques pour les professionnels du tourisme ?
Si l’attaque dont a été victime Mariott reste pour l’instant la plus marquante du secteur, tous les pans de l’industrie du tourisme sont aujourd’hui touchés. Pour rappel, le 30 novembre 2018, Mariott annonçait avoir été victime d’un piratage. Pendant 4 ans, le groupe hôtelier s’est fait voler les données de 500 millions de clients. Il s’agit d’un grand coup porté à la réputation du célèbre groupe hôtelier. Il en est de même pour Cathay Pacific qui s’est vu dérober les données de 9,4 millions de passagers. Au total, ce sont 860 000 numéros de passeports, 245 000 numéros de cartes d’identité hongkongaises, 403 numéros de cartes de crédit expirées et 27 cartes de crédit sans cryptogramme qui ont été compromis.
Les transports touristiques sont également de plus en plus touchés qu’il s’agisse d’avions de tourisme ou de yatchs. C’est pourquoi le ministère fédéral américain a demandé aux fabricants des systèmes électroniques équipant des avions de tourisme légers de revoir la sécurité de leur matériel. Il est notamment question de la vulnérabilité d’un système embarqué baptisé CAN, pour Controller Area Network. Ce procédé permet de gérer la transmission des données de l’avionique (équipements, capteurs, instruments…) de l’avion. Malgré sa relative importance, il se trouve que ce système n’est absolument pas sécurisé. Toutefois, pour pirater le CAN, il faut parvenir à accéder physiquement à l’appareil.
Les stations de ski n’échappent pas à la cyber-menace. Plusieurs exploitants de téléphériques ont ainsi été victimes de ransomware. Des attaques très rentables pour les hackers puisque les exploitants ne peuvent se permettre des arrêts prolongés de leurs systèmes.
Enfin, les intrusions de bots malveillants sur les sites doivent être surveillés de près. Ils cherchent principalement à accéder aux comptes clients des programmes de fidélité mais peuvent aussi être le fait de concurrents qui déploient des logiciels pour poser des options sur des sièges et ainsi bloquer l’inventaire et nuire aux ventes. Un pic de demandes de connexion simultanées combiné à des tentatives infructueuses est un indicateur clé d’une tentative d’attaque. En moyenne, on comptabilise 3 à 4 attaques de ce type par mois sur les sites des compagnies aériennes.
Toutes ces attaques sont bien sûr totalement anti-productives pour les sociétés et nuisent grandement à l’image des entreprises. C’est pourquoi il convient de s’en protéger en anticipant les menaces.
Quelles solutions pour se protéger efficacement ?
Être victime d’une attaque n’est pas une fatalité. Au contraire, cela peut donner l’opportunité de transformer une situation de crise en véritable avantage concurrentiel. À condition de réagir vite et de se faire accompagner par des experts en cybersécurité. Aujourd’hui, plus aucun professionnel du domaine du tourisme ne peut se permettre d’éluder la question.
Au vu de la diversité des sites web, des motifs et des types d’attaques, il est difficile de faire des recommandations générales.
Néanmoins, voici quelques bonnes pratiques :
- Surveiller les variations de trafic pour constater toute anomalie. En cas de hausse de trafic inexpliqué, il convient de chercher les causes de ce pic ;
- Enquêter sur les tentatives de connexion infructueuses ;
- Se faire accompagner par une équipe experte en cybersécurité pour dresser une cartographie des vulnérabilités du SI. Cela déterminera le plan d’action à suivre ;
- S’équiper d’outils de détection de menaces en temps réel telles que les sondes développées par Gatewatcher. Ces dernières sont capables d’analyser des flots continus de fichiers de façon quotidienne ;
- Développer le machine learning au sein de l’entreprise pour anticiper au maximum les évolutions des méthodes de hacking ;
- Sensibiliser, former et éduquer les équipes, partenaires et clients sur les différents types de cyberattaques.
Enfin, si vous êtes client et que vous réservez un hôtel, un vol ou une activité, vous pouvez aussi prendre certaines précautions à votre échelle. Lors d’une réservation, prenez soin d’analyser le lien contenu dans le mail de confirmation avant de cliquer dessus. Si l’URL présente une faille de sécurité risquant de compromettre vos données, elle ressemblera à celle-ci : https://booking.the hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld .
Comme vous pouvez le voir, le mot de passe « 1234567 » et l’email « john_smith@myMail.tld » sont visibles. Évitez donc de cliquer sur le lien s’il s’apparente à cet exemple. En parallèle, vous pouvez aussi utiliser un VPN si vous apportez des changements à votre réservation en étant connecté à un réseau WiFi public.