Le secteur du tourisme attire les cybercriminels. Les hôtels qui voient passer, un volume continu de touristes et de voyageurs doivent désormais composer avec une nouvelle forme de menace. - Photo Tumisu
A Paris, il arrive un touriste toutes les secondes en moyenne. Avec une fréquentation record de 33,8 millions d’arrivées hôtelières, la plus belle ville du monde est aussi la plus fréquentée. Aussi, les touristes de la capitale sont-ils appelés à la vigilance.
Ils représentent des cibles de choix pour les personnes malveillantes. S’il est rarement fait écho d’attaques physiques sur certains d’entre eux, il est un nouveau type d’attaque à ne pas négliger. La malveillance à leur égard s’appuie également sur les environnements connectés du monde du tourisme !
Les hackers ne manquent pas d’ingéniosité. Ils introduisent les réseaux informatiques et bouleversent la sécurité des points d’accès Wi-Fi, des équipements connectés, etc. des établissements hôteliers, des lieux publics, et autres endroits prisés par les touristes afin de leur dérober leurs données personnelles. Ils sont ainsi parvenus à pirater un casino par le biais d’un thermomètre placé dans un aquarium du hall d’entrée.
Le secteur du tourisme attire les cybercriminels. Les hôtels qui voient passer, un volume continu de touristes et de voyageurs doivent désormais composer avec une nouvelle forme de menace. En voyage, la sécurité va bien au-delà de la protection physique des individus, elle s’étend à la protection de leur environnement/vie numérique.
Ils représentent des cibles de choix pour les personnes malveillantes. S’il est rarement fait écho d’attaques physiques sur certains d’entre eux, il est un nouveau type d’attaque à ne pas négliger. La malveillance à leur égard s’appuie également sur les environnements connectés du monde du tourisme !
Les hackers ne manquent pas d’ingéniosité. Ils introduisent les réseaux informatiques et bouleversent la sécurité des points d’accès Wi-Fi, des équipements connectés, etc. des établissements hôteliers, des lieux publics, et autres endroits prisés par les touristes afin de leur dérober leurs données personnelles. Ils sont ainsi parvenus à pirater un casino par le biais d’un thermomètre placé dans un aquarium du hall d’entrée.
Le secteur du tourisme attire les cybercriminels. Les hôtels qui voient passer, un volume continu de touristes et de voyageurs doivent désormais composer avec une nouvelle forme de menace. En voyage, la sécurité va bien au-delà de la protection physique des individus, elle s’étend à la protection de leur environnement/vie numérique.
Les cartes d'hôtels piratables
Autres articles
-
Cybersécurité : ransomware, phishing ou deepfake... la menace est partout ! 🔑
-
Les EDV lancent un atelier sur la cybermalveillance et la fraude
-
Cathay Pacific propose un service Wi-Fi gratuit en vol
-
Quels sont les pays les plus sûrs pour voyager ?
-
Star Clippers installe Starlink internet sur ses voiliers
Pour preuve, les responsables d’un hôtel ont découvert qu’ils pouvaient retrouver des intrus dans les chambres privées de leur établissement.
Comment ? Un défaut de conception du logiciel de clés électroniques produit par la société Assa Abloy (anciennement VingCard) qui a laissé des millions de portes de chambres d'hôtel ouvertes et vulnérables aux pirates informatiques.
Une telle faille offre la possibilité aux criminels de créer des passe-partout et d'ouvrir n'importe quelle porte dans les hôtels concernés. Pour bien comprendre l’ampleur du dégât possible : il suffit d’une seule clé magnétique pour exploiter la faille ! Une fois la clé obtenue, les pirates n’ont plus qu’à utiliser un lecteur RFID et essayer plusieurs combinaisons de clés pour décoder la carte (une vingtaine en moyenne) et ouvrir l’ensemble des portes de l’hôtel.
Si la faille a été repéré puis maîtrisée, sa nature ne doit cependant pas être méprisée. Elle illustre l’impact que pourrait représenter une faille non maîtrisée dans une industrie aussi étendue que l’hôtellerie.
Comment ? Un défaut de conception du logiciel de clés électroniques produit par la société Assa Abloy (anciennement VingCard) qui a laissé des millions de portes de chambres d'hôtel ouvertes et vulnérables aux pirates informatiques.
Une telle faille offre la possibilité aux criminels de créer des passe-partout et d'ouvrir n'importe quelle porte dans les hôtels concernés. Pour bien comprendre l’ampleur du dégât possible : il suffit d’une seule clé magnétique pour exploiter la faille ! Une fois la clé obtenue, les pirates n’ont plus qu’à utiliser un lecteur RFID et essayer plusieurs combinaisons de clés pour décoder la carte (une vingtaine en moyenne) et ouvrir l’ensemble des portes de l’hôtel.
Si la faille a été repéré puis maîtrisée, sa nature ne doit cependant pas être méprisée. Elle illustre l’impact que pourrait représenter une faille non maîtrisée dans une industrie aussi étendue que l’hôtellerie.
Une vigilance à chaque étage
Les chambres d’hôtel ne sont pas les seules à pouvoir se faire hacker. Les aéroports, les restaurants, les bars, etc. figurent aux côtés des hôtels parmi les zones les plus exposées au risque de piratage.. En effet, les connexions publiques sont « ouvertes » et ne nécessitent pas de clé de sécurité.
Aussi, un pirate peut créer un faux hotspot, en prenant le nom d’un hôtel, d’un café ou d’un restaurant par exemple. En se connectant à ce réseau wifi fantôme, l’utilisateur laisse donc son téléphone, son ordinateur, sa tablette, etc. à la merci du cybercriminel qui peut alors s’y immiscer et subtiliser les données personnelles de son utilisateur.
Si les touristes ont un rôle à jouer pour s’assurer de leur sécurité [numérique], il appartient aux établissements hôteliers, professionnels de la restauration, espaces publics, etc. de sécuriser leurs infrastructures et leurs réseaux contre toute forme d’intrusion et d’attaque informatique.
Il est fondamental pour les professionnels du secteur de pouvoir s’appuyer sur des prestataires de confiance afin de mettre en place des politiques de sécurité efficace.
Aussi, un pirate peut créer un faux hotspot, en prenant le nom d’un hôtel, d’un café ou d’un restaurant par exemple. En se connectant à ce réseau wifi fantôme, l’utilisateur laisse donc son téléphone, son ordinateur, sa tablette, etc. à la merci du cybercriminel qui peut alors s’y immiscer et subtiliser les données personnelles de son utilisateur.
Si les touristes ont un rôle à jouer pour s’assurer de leur sécurité [numérique], il appartient aux établissements hôteliers, professionnels de la restauration, espaces publics, etc. de sécuriser leurs infrastructures et leurs réseaux contre toute forme d’intrusion et d’attaque informatique.
Il est fondamental pour les professionnels du secteur de pouvoir s’appuyer sur des prestataires de confiance afin de mettre en place des politiques de sécurité efficace.
Et le RGPD...
La notion de risque et la manière d’y remédier doivent également être prises en compte lors de la définition des différents scénarii. Ainsi, le recours à des patchs de sécurité lorsqu’une vulnérabilité a été révélée doit être envisagé, ainsi que la mise en place de correctifs, etc.
Attention toutefois car plus un logiciel vieillit, plus il est vulnérable, et moins il existe de correctifs. En ce qui concerne la sécurité du Wi-Fi, l’option la plus sûre pour le voyageur et le professionnel demeure de disposer d’un Wi-Fi privé sécurisé par un code d’accès complexe.
Avec la récente entrée en vigueur du Règlement Général pour la Protection des Données (RGPD), les industries traitant d’importants volumes de datas, à l’image de l’hôtellerie, doivent avoir pris la mesure des risques potentiels auxquels elles sont exposées.
Face aux cyber-menaces, le marché hôtelier français peut également être lourdement sanctionné financièrement s’il n’est pas en mesure de protéger les données individuelles et personnelles de ses clients.
Dans le cadre du RGPD, les sanctions constituent jusqu'à 4% du chiffre d'affaires ou 20 millions d'euros, la valeur la plus importante étant retenue. Et c’est sans compter l’impact sur la notoriété de l’établissement.
Attention toutefois car plus un logiciel vieillit, plus il est vulnérable, et moins il existe de correctifs. En ce qui concerne la sécurité du Wi-Fi, l’option la plus sûre pour le voyageur et le professionnel demeure de disposer d’un Wi-Fi privé sécurisé par un code d’accès complexe.
Avec la récente entrée en vigueur du Règlement Général pour la Protection des Données (RGPD), les industries traitant d’importants volumes de datas, à l’image de l’hôtellerie, doivent avoir pris la mesure des risques potentiels auxquels elles sont exposées.
Face aux cyber-menaces, le marché hôtelier français peut également être lourdement sanctionné financièrement s’il n’est pas en mesure de protéger les données individuelles et personnelles de ses clients.
Dans le cadre du RGPD, les sanctions constituent jusqu'à 4% du chiffre d'affaires ou 20 millions d'euros, la valeur la plus importante étant retenue. Et c’est sans compter l’impact sur la notoriété de l’établissement.