L'industrie du voyage n'a pas réussi à sécuriser ses sites malgré des violations de données très médiatisées

Les principales compagnies aériennes et chaînes hôtelières n’ont pas réussi à sécuriser leurs plates-formes en ligne, même après que des violations de données et des cyberattaques précédentes ont révélé les données de millions de clients et se sont vu infliger des amendes de la part des autorités de régulation de la vie privée.

C’est la conclusion d’une enquête menée par Which?, qui a découvert des centaines de failles de sécurité sur des sites d’agences de voyage populaires telles que Marriott, British Airways et EasyJet, qui ont toutes déjà subi de graves violations de données.
 
En juin 2020, le groupe de consommateurs a analysé 98 entreprises du secteur du voyage, allant des compagnies aériennes aux croisiéristes, révélant une tendance troublante.
 
Marriott joue un jeu dangereux. Les chercheurs analysant les sites Web gérés par Marriott ont découvert près de 500 vulnérabilités, 96 problèmes étant signalés comme de gravité élevée et 18 jugés critiques.

 
“Trois vulnérabilités critiques ont été découvertes sur un seul site Web de l’une des chaînes hôtelières de Marriott, impliquant des erreurs dans le logiciel utilisé pour exécuter le site Web, permettant potentiellement à un attaquant de cibler les utilisateurs du site et leurs données”, ont déclaré les enquêteurs. “Nous avons communiqué nos résultats directement à Marriott (comme nous l’avons fait avec les cinq fournisseurs lors de notre test d’instantané) et il a déclaré qu’il n’avait” aucune raison de croire “que les systèmes ou les données de ses clients avaient été compromis.”

La chaîne d’hôtels aurait peut-être esquivé une balle, sinon pour l’amende de 99,2 millions de livres sterling pour la violation de données de 2018 qui a exposé les enregistrements de 339 millions de clients, et la violation de mai 2020 qui a compromis les informations de 5,2 millions de clients supplémentaires.
 
EasyJet n’est pas parfait non plus. Les chercheurs ont découvert 222 vulnérabilités dans neuf domaines gérés par la compagnie aérienne, y compris deux failles critiques, “dont une si grave qu’en cas d’exploitation, un attaquant pourrait détourner la session de navigation de quelqu’un.”
 
Cette annonce intervient après que la compagnie aérienne à bas prix a révélé une violation de données majeure qui a exposé les données personnelles de 9 millions de clients, y compris les informations de carte de crédit de plus de 2000 passagers.

 
«En réponse à nos recherches, EasyJet a mis trois domaines hors ligne et a résolu les vulnérabilités révélées sur les six autres sites,» ajoute Which?.

British Airways, la plus grande compagnie aérienne britannique, a subi une cyberattaque en 2018 qui a révélé les informations personnelles et financières d’environ 500 000 clients. La société fait face à une amende record du Bureau du Commissaire à l’information (ICO) de 183,39 millions de livres sterling.
 
Les chercheurs ont découvert 115 vulnérabilités potentielles sur les sites Web des compagnies aériennes, dont 12 jugées critiques. Après avoir révélé les résultats à l’entreprise, aucun signe de mesures d’atténuation n’a été noté.

 
«Nous prenons la protection des données de nos clients très au sérieux et continuons d’investir massivement dans la cybersécurité», a déclaré un porte-parole de British Airways à Which?. «Nous avons mis en place plusieurs niveaux de protection et sommes convaincus que nous disposons les bons outils pour atténuer les vulnérabilités identifiées.»

Bien qu’American Airlines n’ait pas encore fait l’objet d’une violation de données très médiatisée, les chercheurs ont découvert 291 vulnérabilités sur ses sites Web, dont 30 signalées comme étant de haute gravité et sept jugées critiques.

 
«La plupart des sites les plus problématiques semblaient être utilisés en interne par le personnel d’American Airlines, mais Which? a trouvé une vulnérabilité à fort impact sur un site Web lié à l’activité de cartes de crédit d’American Airlines », ont déclaré les enquêteurs.

Il semble que l’industrie du voyage n’ait pas appris sa leçon, de nombreuses entreprises attaquées restant très timides en matière de cybersécurité et de sûreté des données clients.

 
«Les agences de voyages doivent muscler leur jeu et mieux protéger leurs clients contre les cybermenaces, sinon l’ICO doit être prête à intervenir avec des mesures punitives, y compris de lourdes amendes qui sont effectivement appliquées», Rory Boland, rédacteur en chef de Which? Voyage dit.