Cybersécurité : une faille découverte chez AccorHotels !

Cybersécurité : une faille découverte chez AccorHotels !
Accor hôtels

Boursier.com, publié le mercredi 20 novembre 2019 à 20h55

Le géant français de l'hôtellerie Accorhotels (chaînes Ibis, Mercure, Novotel...) vient de commettre une grosse bourde informatique. 'Le Parisien' a révélé mercredi soir sur son site internet que les données personnelles et bancaires de 130.000 à 140.000 clients d'Accorhotels ont été exposées par erreur. Elles étaient stockées sans être protégées sur un serveur mal paramétré d'une filiale du géant français de l'hôtellerie, Gekko Group, et ont donc été potentiellement accessibles à des cyber-pirates.

L'erreur a été rectifiée le 13 novembre, et l'incident a été signalé le 16 novembre à la CNIL, le gendarme français des données personnelles, qui pourrait sanctionner ce manquement.

En raison d'un serveur mal paramétré laissant un port de connexion ouvert, des données concernant 130.000 à 140.000 voyageurs étaient potentiellement librement accessibles, dont des identifiants et des coordonnées bancaires, ont indiqué mercredi l'entreprise et une agence de cybersécurité, confirmant les informations du 'Parisien'.

Ce sont ainsi non moins d'un Téraoctet d'informations sensibles qui ont été laissées en accès libre, dont des historiques des réservations d'hôtels et de transports, des factures mais aussi des références incomplètes de cartes de crédit.

Pas d'utilisation frauduleuse constatée, selon Gekko

Les données menacées proviennent de Teldar Travel, le système de réservation créé par Gekko pour les agences de voyages professionnels et d'Infinite Hotels, la centrale hôtelière qui gère les réservations chez les hôtels indépendants.

Interrogée par le quotidien 'Les Echos', l'entreprise a assuré qu'aucune donnée n'a été consultée ou récupérée pour une utilisation frauduleuse, selon un audit effectué a posteriori. Les personnes concernées par cette fuite de données ont également été prévenues.

Fabrice Perdoncini, le nouveau PDG de Gekko, filiale d'AccorHotels depuis janvier 2018, affirmé pour sa part au 'Parisien' que "moins de 900 cartes de crédit (ont été) exposées et sans leur cryptogramme visuel obligatoire pour un paiement, car nous facturons nos clients à 98% des cas par des virements". Gekko revendique travailler avec 300 grandes entreprises et 14.000 agences de voyages.

Selon 'Le Parisien', ce sont les spécialistes israéliens de la cybersécurité de VPNMentor qui ont détecté le 7 novembre dernier cette fuite potentielle en scrutant les ports ouverts en libre accès sur Internet. Ils l'ont ensuite signalée à Gekko, qui l'a colmatée le 13 novembre.

Vos réactions doivent respecter nos CGU.