Vous êtes ici : Accueil > > Articles & brèves > > Technologie > Eléments de réponse à la polémique de (...)
mercredi 18 septembre 2019

Eléments de réponse à la polémique de Symantec à propos de la sécurité des sites internet des hôtels

 

Un article de Symantec disant que deux tiers des sites internet d’hôtels avaient des fuites de données a récemment fait le tour du web. Certes il aborde des points importants, néanmoins prendre un peu de recul est plus que nécessaire.

C’est l’occasion de faire un point de ce qui se pratique et de ce qui peut être corrigé. L’entrée en vigueur du RGPD était en théorie le moment de réaliser la cartographie de ses données puis de procéder aux éventuels correctifs ou changements.

L’article de Symantec : méconnaissance de l’écosystème hôtelier

Il est assez classique de la part d’entreprises de sécurité comme Symantec de ne voir que le verre vide et de noircir le tableau. Imaginez si tous les professionnels d’un secteur, par exemple son médecin, se contentait de ne voir que le verre à moitié vide…

infographie Symantec sur la sécurité des sites d'hôtel

A la première lecture de l’article ou même à la dixième, on comprend que l’auteur de l’article a une connaissance de l’hôtellerie très superficielle.

Dans le monde du web, les sites e-commerce ont généralement un système unique pour l’affichage des données et le moteur de transaction. Dans l’hôtellerie, c’est historiquement différent.

Les moteurs de réservation sollicités par TH

Ont été sollicités à la suite de cet article une longue liste de moteurs de réservation :

  • Ont fourni des réponses précises :
    • D-Edge
    • Reservit
    • Siteminder
    • Wubook
  • N’ont fourni aucun élément concret (certains ont envoyé un laïus marketing mais pas de réponse précise)
    • Bookassist
    • Dylog
    • Mirai
    • Novaresa
    • Roomcloud
    • Synxix (Sabre)
    • Travelclick (Amadeus) : carton rouge pour Travelclick qui a botté en touche en refusant de répondre à ce type de questions. M’sieur Travelclick, quand on est leader du marché, on ne peut pas se retrancher derrière un simple « circulez y’a rien à voir » !

Quel est cet écosystème hôtelier ?

De manière assez générale, les hôtels utilisent plusieurs technologies et plusieurs prestataires : d’un côté le site web avec ce qu’on appelle le contenu froid (le contenu qui change peu souvent) et de l’autre l’outil de réservation pour le contenu chaud (le contenu qui évolue constamment et doit impérativement être servi « chaud » au visiteur). On commence à voir apparaître des systèmes unifiés qui vont du PMS au moteur de réservation en passant par le site web, néanmoins ça n’est pas la norme.

Système unifié (PMS + site web + BE) : bonne ou mauvaise idée ?

Que le système soit unifié ou pas, ce qui compte c’est que l’intégration entre les différents modules soit profonde. Ça n’est pas parce que les modules viennent du même fournisseur qu’ils vont communiquer correctement. A l’inverse, on voit des agences web se distinguer avec des intégrations très profondes et un frontal client de qualité : c’est au client qu’il faut penser quand on construit un site hôtelier, pas au personnel de l’hôtel...

On avait pris l’habitude d’interfaces superficielles entre les systèmes alors que la superficialité est l’ennemi de la qualité et de la pérennité.

Il faut dire que si l’hôtellerie avait réellement adopté des standards universels et des API ouvertes, nous n’en serions pas là… Sur ce sujet précis, les chaînes hôtelières n’ont manifestement pas fait preuve de vision ni d’anticipation ! Pendant qu’elles se tirent la bourre avec des arcs et des arbalètes, Booking, Expedia, Google, AirBnB, … ratissent le terrain avec des chars et des drones ultramodernes.

Dès l’instant où la réservation est enregistrée, elle chemine vers le PMS de manière plus ou moins automatique et plus ou moins directe : au plus court, le booking engine et le PMS sont interfacés. Parfois le lien est plus sinueux : passage par le CRS du groupe, par le CRM ou outil de gestion de la relation client, le « machin » qui vit sa vie tout seul et envoie des messages au client en toute autonomie avant, pendant et après le séjour ; parfois c’est ressaisi manuellement !

Rien que cette chaîne de réservation implique plusieurs briques technologiques émanant souvent de plusieurs sociétés :

  • le site web : la liste est longue
  • le widget de comparaison tarifaire : Hotel Price Explorer, TripTease...
  • le gestionnaire d’avis parfois combiné au widget de tarifs : Qualitelis, Customer Alliance, TrustYou...
  • l’outil de marketing automation, le « machin » qui suit le chemin du pas-encore-client sur le site et lui diffuse des messages calibrés : H.Push Marketing, Cendyn...
  • l’outil de chat, le machin qui permet au pas-encore-client de discuter avec un robot (chatbot) ou un humain : Quicktext, HotelDirectBooster, ...
  • le booking engine : la liste est longue

Parmi ces outils, certains ont accès à des données anonymes, d’autres non : certains ne connaissent que des données de navigation (adresse IP, système d’exploitation, navigateur) alors que d’autres collectent au fur et à mesure des données personnelles : nom, prénom, email, téléphone, adresse puis les données de paiement.

Les applications tierces


D-Edge affirme « Les Tierces Parties (site de tracking etc…) sont gérés par un système fiable et centralisé. Ce dernier permet notamment de contrôler l’ajout/suppression des partenaires et dispose de plusieurs mécanismes de sécurité. Enfin, les échanges avec ces tierces parties sont exclusivement faits en HTTPS. »
Chez Reservit, seul l’outil d’analytics peut accéder à une partie des données, pas sur toutes les pages.

Le premier point soulevé : 67% des urls contiennent des informations personnelles

Le chiffre paraît élevé. Il est en tous les cas compliqué à vérifier sans mettre en place un « labo » d’analyse ou sans un retour massif des hôteliers. L’auteur affirme avoir testé 1.500 sites web dans 54 pays, du petit 2* au luxueux resort 5*.

Ce que reproche l’auteur, c’est que des données personnelles sont partagées de manière simpl(ist)e avec des applications tierces car présentes dans l’url. Ces applications tierces peuvent être l’outil d’analyse des statistiques de visite dont Google Analytics est leader dans l’hôtellerie (N’hésitez pas à lire ou relire Mais quel est le c… qui a donné les clés de l’hôtellerie à Google ?) ou des outils de marketing.

Des données personnelles auquel fait référence l’article sont :

  • le numéro de réservation ou l’email du client
  • l’adresse email du client
  • l’adresse postale
  • le téléphone portable
  • les derniers chiffres de la carte de crédit, son type et sa date de validité
  • son numéro de passeport

L’auteur indique que ces outils publiaient tous une page « confidentialité » sans pour autant expliciter ce point précis.

D-Edge, Reservit, Siteminder et Wubook


Ces fournisseurs affirment que le protocole HTTP n’existe plus chez eux. Ils utilisent tous d’autres protocoles et méthodes en complément : chiffrement ou signature de paramètres, usage de code PIN, etc…
Quant à la transmission de données personnelles dans l’url, D-Edge, Reservit et Wubook affirment que ce n’est pas le cas chez eux. Siteminder n’a pas répondu à ce point précis.

L’email de confirmation

L’auteur reproche à ces systèmes d’envoyer au client une confirmation contenant un lien de visualisation/modification/annulation comprenant lui-même des données personnelles. Un exemple : https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld

On met de côté le fait qu’il suffise à un pirate de « renifler » et capturer une url qui passe pour avoir accès à des données personnelles : dans la mesure où la technologie email ne permet pas d’utiliser certains protocoles sécurisés pour les liens urls, c’est à l’internaute de sécuriser son propre environnement.

Par contre, l’url fournie envoie vers une page qui contient une multitude de données pour l’essentiel intégralement lisible à l’écran, mais surtout contenant des outils ou applications tierces telles que des outils de marketing ou d’analyse : les données des clients sont potentiellement exposées. Sur un simple plan de bon sens il ne paraît pas très malin de donner accès à toutes les données personnelles d’un simple clic. On pourrait s’attendre à un récapitulatif contenant des données partiellement cachées (par exemple i****@***.fr dans le champ email) et accessibles dans leur intégralité moyennant un processus d’identification.
Symantec : exemple de page récapitulant la réservation

Il n’y a pas que l’email...


On a un peu trop tendance à résumer le mode de communication à l’email.
Des entreprises du tourisme ont pourtant compris qu’on pouvait envoyer une confirmation par sms ou par messagerie instantanée, par exemple Facebook Messenger, push navigateur, push dans l’application, etc...

Le http est encore très présent

L’auteur relève que 29% des liens sont en fait en http et non pas en https. En 2019, c’est plutôt simple de sécuriser son site web et ses liens en protocole https au lieu du protocole http!!!

Chez D-Edge, Reservit, Siteminder et Wubook, pas de http mais uniquement du https.

La référence de réservation

L’auteur relève que l’incrémentation de la référence de réservation est basique sur de nombreux systèmes de réservation : la première réservation a la référence 000001, la millième 001000 et ainsi de suite.

Parmi les moteurs de réservation du marché interrogés, Siteminder a indiqué que la référence de réservation était incrémentée de manière non linéaire. Chez D-Edge (ex availpro), c’est également le cas depuis le premier jour.

Ce dont ne parle pas l’article

La sécurisation des données de paiement répond au protocole PCI-DSS chez tous les acteurs de la réservation (si le vôtre ne l’est pas, merci de le signaler en commentaire de l’article) car c’est devenu une obligation pour discuter avec les banques ou les OTA.

Un système infaillible ? Ça n’existe pas !

En effet, la sécurité est une perpétuelle course en avant dont Octave Klaba, le visionnaire patron du groupe OVH, se fait l’écho dans ses interventions. Il insiste systématiquement sur l’humilité dont il faut toujours faire preuve quand on parle de sécurité.

Satisfaire à la norme PCI-DSS ne suffit pas : on se souvient des piratages de données de paiement chez Expedia, Marriott, Fastbooking, Hilton, Hyatt, Sabre et beaucoup d’autres. On se souvient également du phishing chez Booking.

L’incident survenu chez Fastbooking en 2018 a été un électrochoc qui a fait réviser l’intégralité des procédures de sécurité et l’architecture des données.

Chez Siteminder, une équipe disponible 24 heures sur 24 a été mise en place depuis plusieurs années et n’a pour seule tâche que s’assurer de la sécurité.

Reservit et Wubook sont également dans une nouvelle phase de sécurisation.

La sécurité exige de se remettre en question tous les jours, de savoir prendre des décisions radicales, d’avoir des outils de mesure et d’avoir la possibilité de couper instantanément certains "robinets" en cas de fuite...

Nombreux sont les acteurs technologiques à recourir à des entreprises spécialisées pour vérifier la sécurité de leurs systèmes informatiques. Rares sont les entreprises à communiquer avec précision sur le sujet, néanmoins réaliser régulièrement des audits de sécurité est devenu quasi obligatoire, en complément d’autres procédures de surveillance et de contrôle interne.

Conclusion

Le premier enseignement de cet article est de ne pas le lire comme si c’était la fin du monde. Aujourd’hui, la sécurité informatique est un peu comme la santé : il arrive à tout le monde d’avoir un petit rhume et heureusement à moins de monde d’avoir une maladie plus grave et plus coûteuse.

Le RGPD est venu rappeler un point essentiel : la proportionnalité des informations collectées sur ses clients. On ne peut que s’interroger sur la pertinence pour un hôtel de détenir des informations très personnelles (diabète, allergie, préférence sexuelle, …) sur un client une fois qu’il est parti…

Ce qui compte en matière de sécurité pour un hôtelier indépendant, c’est de réaliser une cartographie détaillée de ses données et surtout de vérifier un par un que les acteurs technologiques qu’il utilise ont tous mis en place des procédures.

 
 
 
Dans le cadre strictement privé (voir les CGU) de la reproduction partielle ou intégrale de cette page, merci d’insérer la marque "TendanceHotellerie" ainsi que le lien https://suiv.me/11333 vers sa source ou le QR Code accessible à l'adresse https://suiv.me/11333.qr. Voir le mode d'emploi.
 
 

 
 
 
 

Forum sur abonnement

Pour participer à ce forum, vous devez vous enregistrer au préalable. Merci d’indiquer ci-dessous l’identifiant personnel qui vous a été fourni. Si vous n’êtes pas enregistré, vous devez vous inscrire.

Connexions’inscriremot de passe oublié ?

 
 
Si vous pensez que TendanceHotellerie.fr a toute sa place dans le paysage de l’hôtellerie francophone, n’hésitez pas nous soutenir. C’est simple et (...) En savoir plus »
Nous avons la volonté de faire correspondre ce webzine à vos attentes. Nous sommes très intéressés de recevoir vos avis et suggestions pour (...) En savoir plus »
Vous voulez annoncer sur TendanceHotellerie ? Nous proposons aux fournisseurs de services, solutions et produits à destination de l’hôtellerie de communiquer avec les lecteurs de (...) En savoir plus »