Cybersécurité : le raté d'AccorHotels
Des données personnelles et bancaires de 130.000 à 140.000 voyageurs stockées sur un serveur mal paramétré d'une filiale du géant français de l'hôtellerie n'étaient pas protégées. L'incident a été signalé à la CNIL, que la loi autorise à prendre des sanctions.
Par Florian Dèbes
La sécurité informatique d'une filiale d'AccorHotels vient d'être prise en défaut. D'après des informations du « Parisien », le champion français de l'hôtellerie et numéro six mondial du secteur a laissé ouverte la porte d'une pièce censée enfermer précieusement les informations personnelles de 130 à 140.000 voyageurs européens selon l'entreprise, qui a confirmé aux « Echos » la négligence.
La faille liée à une erreur de paramétrage était située au niveau d'un serveur exploité par Gekko Group, l'entité du groupe spécialisée dans la réservation en ligne de chambre d'hôtels. Son logiciel Teldar Travel est utilisé par les employés des agences de voyages et des salariés d'entreprise lorsqu'ils préparent un voyage d'affaires.
Dans le détail, les données dont il est question sont des historiques des réservations d'hôtels et de transports, des factures mais aussi des références incomplètes de cartes de crédit. Des mots de passes appartenant à des partenaires de Gekko Group auraient également pu être captés par des individus mal intentionnés. Mais l'entreprise assure qu'aucune donnée n'a été consultée ou récupérée pour une utilisation frauduleuse, selon un audit effectué a posteriori.
Signalement à la CNIL
Alerté le 13 novembre, Gekko Group affirme avoir réglé le problème le jour même. Peu auparavant, un dispositif de sécurité (le firewall) ne s'était pas rallumé après une mise à jour sur le serveur en cause, sans que personne ne s'en aperçoive.
La réglementation sur la protection des données personnelles poussant les entreprises à une obligation de résultat, Gekko Group a dû signaler l'incident à la CNIL le 16 novembre dernier. Le gendarme français des données personnelles pourrait sanctionner ce manquement. Les personnes concernées par cette fuite de données ont également été prévenues.
Des déboires fréquents dans le tourisme
Les carences et les insuffisances en matière de sécurité des données personnelles étaient le motif pour sept des onze sanctions prononcées l'an dernier par la CNIL. L'agence a notamment infligé une amende de 400.000 euros à Uber et une autre de 250.000 euros à Bouygues Telecom pour des failles qui exposaient les données de centaines de milliers de personnes. Plus récemment, le pouvoir de sanction accrue conféré par le RGPD à la CNIL lui a permis de condamner une agence immobilière à une amende de 400.000 euros pour un défaut de sécurité sur les données de 30.000 personnes.
Gekko n'est pas la première filiale du groupe hôtelier français à connaître des déboires en cybersécurité. En juin 2018, un spécialiste de la réservation en ligne racheté par AccorHotel reconnaissait avoir été victime d'une attaque informatique ayant cette fois permis aux cybercriminels de subtiliser des données concernant des touristes français et japonais. Très riche en données personnelles, le secteur hôtelier fait souvent la Une de l'actualité sur ce sujet. Marriot, un des concurrents d'AccorHotel avait lui laissé filé les données de 500 millions de clients entre 2014 et 2018 !
Florian Dèbes