Une étude récente menée par Cequence, un fournisseur de solutions de cybersécurité, a examiné les graves lacunes en matière de sécurité qui affectent les dix principales entreprises du secteur des voyages et de l’hôtellerie.
La liste comprend des noms connus comme Orbitz, Kayak, Skyscanner et Travelocity, des sites sur lesquels des millions de personnes comptent chaque jour pour réserver des vols, des hôtels et des forfaits vacances.
Les recherches de Cequence révèlent que ces plateformes présentent des failles de sécurité, créant ainsi un terrain fertile pour les cyberattaques qui touchent à la fois les consommateurs et les entreprises.
De la perte financière à l’usurpation d’identité, les vulnérabilités exposent les clients à de graves conséquences.
Pour les entreprises, l’impact est tout aussi préoccupant, avec des risques allant de l’atteinte à la réputation à des répercussions juridiques coûteuses.
Les problèmes surviennent en raison d’une combinaison de technologies obsolètes, d’environnements cloud mal gérés et de l’absence de mesures de sécurité complètes.
Les transactions numériques étant de plus en plus intégrées dans la planification des voyages, il est essentiel de remédier à ces faiblesses afin d’éviter des perturbations à grande échelle.
Des attaques MiTM au chaos du cloud
Les attaques se produisent lorsqu’une entité non autorisée intercepte les communications entre un utilisateur et un site web, souvent à l’insu de l’une ou l’autre des parties.
Dans le contexte des réservations de voyage, cela signifie que des informations sensibles, telles que les données des cartes de crédit, les informations des passeports et les itinéraires de voyage, peuvent être compromises.
L’une des révélations les plus alarmantes de l’étude de Cequence est que 91 % des vulnérabilités les plus graves détectées permettent des attaques de type « Man-in-the-Middle » (MiTM).
En interceptant la connexion entre l’utilisateur et la plateforme de voyage, les attaquants peuvent modifier ou voler des données, ce qui peut avoir des conséquences financières et personnelles désastreuses.
Dans un secteur qui traite quotidiennement un volume considérable de transactions sensibles, ce niveau d’exposition met en danger des millions de consommateurs, en particulier pendant les périodes de pointe de la saison des voyages.
Des systèmes de cloud défectueux exposent les sites de voyage à des cyberattaques
Une grande partie des vulnérabilités provient de mauvaises configurations de l’infrastructure cloud, 8 entreprises sur 10 ayant des serveurs internes ou de non-production orientés vers le public.
Les serveurs ne sont souvent pas surveillés, ce qui laisse un angle mort aux équipes de sécurité informatique.
Dans un cas, on a découvert qu’une entreprise possédait jusqu’à 300 serveurs non surveillés, ce qui l’exposait à des cyberattaques potentielles sans même qu’elle s’en rende compte.
La dépendance à l’égard de l’infrastructure cloud est très répandue parmi les entreprises de voyage, et lorsqu’elle est associée à une mauvaise gestion, elle crée un terrain propice aux cybermenaces.
En l’absence de surveillance ou de mesures de protection adéquates, ces serveurs servent de passerelles ouvertes aux attaquants pour infiltrer les systèmes, potentiellement pour voler des données ou manipuler des processus de backend.
Le chaos de la prolifération des clouds
L’un des principaux défis auxquels ces entreprises sont confrontées est la prolifération des clouds, c’est-à-dire le fait que les sites de voyage utilisent plusieurs fournisseurs de clouds – de 5 à 21 fournisseurs différents – pour gérer leur infrastructure.
Amazon Web Services (AWS) est le plus fréquemment utilisé, suivi par Google et Microsoft, mais la diversité des services et des fournisseurs complique la gestion de la sécurité.
Les entreprises ne sont peut-être même pas conscientes de tous les actifs de leur réseau, ce qui rend de vastes pans de leur infrastructure vulnérables.
La prolifération des clouds accroît le risque de failles de sécurité et l’exposition aux attaques de la chaîne d’approvisionnement.
De nombreuses vulnérabilités peuvent même ne pas provenir de l’infrastructure d’une entreprise, mais plutôt d’un fournisseur de cloud tiers.
Ce scénario crée un environnement de risque imprévisible dans lequel la sécurisation de l’ensemble de la chaîne devient presque impossible.
Les coûts réels des défaillances de la sécurité pour les voyageurs et les entreprises
Pour les consommateurs, les conséquences de ces failles de sécurité sont graves et d’une grande portée.
Les pirates informatiques qui exploitent les vulnérabilités des plateformes de voyage peuvent conduire à :
- Pertes financières : Les attaquants peuvent compromettre des transactions, vider des comptes bancaires ou effectuer des achats frauduleux.
- L’usurpation d’identité : Le vol d’informations personnelles lors de la réservation d’un voyage, comme le numéro de passeport et les détails de paiement, peut conduire à une usurpation d’identité.
- Perturbation des voyages : Si les attaquants manipulent les détails de la réservation ou accèdent aux itinéraires de voyage, des plans de voyage entiers peuvent être chamboulés, entraînant des vols manqués, des réservations annulées et une expérience frustrante.
L’impact financier et émotionnel sur les voyageurs est profond, d’autant plus que la plupart des clients utilisent ces plateformes en s’attendant à une expérience transparente et sécurisée.
Les lacunes en matière de sécurité peuvent nuire à la réputation et aux résultats des entreprises de voyage
Pour les agences de voyage, les enjeux sont tout aussi importants.
Une atteinte à la réputation due à une faille de sécurité peut éroder la confiance des consommateurs, un atout essentiel sur un marché concurrentiel.
La nouvelle d’une violation de données ou d’une faille de sécurité peut rapidement se répandre, entraînant une désaffection de la clientèle et une baisse de la fidélité à la marque.
Les défis juridiques et réglementaires sont également importants.
Le non-respect des lois sur la sécurité des données, en particulier dans des secteurs très réglementés comme les voyages et l’hôtellerie, ouvre la porte à des poursuites judiciaires, à des amendes et à un examen minutieux de la part du gouvernement.
Les entreprises qui ne sécurisent pas les données de leurs clients peuvent se voir infliger des sanctions ou interdire le traitement des transactions financières, ce qui porte atteinte à leur flux de revenus et à leur viabilité à long terme.
Les serveurs mal gérés et le chaos du cloud sont une mine d’or pour les pirates informatiques
Dans l’étude Cequence, 8 entreprises sur 10 avaient des serveurs internes non protégés exposés au public.
Les serveurs, destinés à un usage interne, sont souvent laissés sans surveillance, créant ainsi des cibles faciles pour les attaquants.
Une entreprise possédait même 300 serveurs de ce type, un chiffre stupéfiant qui souligne l’ampleur du problème.
Les serveurs, souvent en phase de test ou de développement, ne font pas l’objet du même examen de sécurité que les systèmes de production.
Sans une surveillance appropriée, ils peuvent être exploités pour obtenir un accès non autorisé à des parties plus sensibles de l’infrastructure d’une entreprise, ce qui peut conduire à des violations catastrophiques.
La prolifération des clouds ouvre la porte aux attaques de la chaîne d’approvisionnement
Avec l’utilisation de plusieurs fournisseurs de cloud, la gestion de la sécurité sur l’ensemble du réseau devient excessivement complexe.
Les entreprises du secteur du voyage ont du mal à suivre et à sécuriser chaque actif, ce qui laisse des failles que les pirates peuvent exploiter.
La complexité augmente le risque d’attaques de la chaîne d’approvisionnement, où les vulnérabilités d’un fournisseur de cloud tiers infectent les systèmes d’une entreprise en aval.
Les attaques peuvent provoquer des perturbations généralisées, les entreprises s’efforçant d’identifier la source de la violation et de sécuriser leurs systèmes, tout en s’appuyant sur des fournisseurs externes pour l’infrastructure clé.
Les sites les plus sûrs et les plus risqués pour votre prochain voyage
Face aux inquiétudes généralisées en matière de sécurité, certaines entreprises ont adopté une approche proactive pour sécuriser leurs plateformes.
Cequence a identifié Skyscanner est le plus performant en termes de sécurité, suivi de Kayak, Orbitz et Travelocity. Ces entreprises présentent moins de vulnérabilités dans leurs applications publiques, ce qui prouve que de meilleures pratiques de sécurité peuvent atténuer les risques.
Leurs efforts pour verrouiller les serveurs internes et pour réduire les vulnérabilités publiques constituent un modèle pour les autres entreprises du secteur.
Les principales échéances en matière de sécurité que les sites de voyage ne peuvent manquer
Une échéance importante se profile à l’horizon : la mise en œuvre de la norme PCI DSS v4.0, qui doit entrer en vigueur en avril 2025.
Les nouvelles normes, qui régissent le traitement des données des cartes de crédit, exigent des changements pour garantir la sécurité des transactions.
Les entreprises qui ne respectent pas ces règles s’exposent à des amendes, à des pénalités, voire à des interruptions des transactions par carte.
La non-conformité augmente également le risque de violation des données, ce qui aggrave encore les atteintes à la réputation.
La saison des voyages d’hiver, qui débute en octobre, présente un risque accru d’attaques DDoS, les cybercriminels profitant de l’augmentation du trafic en ligne.
En novembre 2023, les entreprises de voyage ont subi près du double d’attaques DDoS par rapport à n’importe quel autre mois.
Étant donné que de plus en plus de personnes réservent leurs vacances et effectuent leurs paiements en ligne, le secteur doit se préparer à une nouvelle recrudescence des attaques cet hiver.