Des données de milliers de réservations dans le Moyen-Orient ont été volées par une agence de renseignement américaine. Mais aucune victime de ce piratage n’a été alertée.
Dans un livre publié hier, jeudi 11 novembre, des journalistes néerlandais révèlent que le site de réservation Booking.com a été victime d’un piratage en 2016. Les auteurs de cette attaque avaient profité d’un serveur mal sécurisé pour s’introduire dans le système d’information de l’entreprise et exfiltrer les données de milliers de réservations dans le Moyen-Orient : noms des clients, itinéraires de voyages, etc.
Les experts en sécurité de la société néerlandaise ont procédé à une enquête forensique. Les indices numériques les ont menés, au bout de deux mois, vers un homme qui travaillait pour une entreprise connue pour réaliser des missions pour des agences de renseignement américaines. Bref, il s’agissait d’une opération d’espionnage de l’oncle Sam.
Au fond, il n’y avait là rien de très surprenant. Les révélations d’Edward Snowden en 2013 avaient déjà montré que le GCHQ, fidèle allié des services américains, disposait d’un système baptisé « Royal Concierge », qui permettait de surveiller les allées et venues de diplomates et journalistes dans 350 hôtels répartis dans le monde.
Ce qui est étonnant, en revanche, c’est la réaction de la direction de Booking.com. Après avoir alerté les services secrets néerlandais et sollicité le conseil du cabinet d’avocats américano-britannique Hogan Lovells, elle a décidé de mettre cette affaire sous le tapis.
Aucun communiqué n’a été publié, aucune victime n’a été contactée. Elle s’est contentée de corriger la faille qui a permis aux hackers américains d’entrer dans les systèmes, sans plus.
Des arguments peu convaincants
En effet, la direction avait estimé qu’aucune donnée sensible ou financière n’avait fuité. Aucune notification n’était donc nécessaire, selon Booking.com.
« Les dirigeants de l’époque s’efforçaient de suivre les principes de la DDPA [Dutch Data Protection Act, une loi néerlandaise sur la protection des données personnelles qui est antérieure au RGPD, NDLR], qui incitaient les entreprises à prendre des mesures supplémentaires en matière de notification uniquement s’il y avait des effets négatifs réels sur la vie privée des individus, pour lesquels aucune preuve n’a été détectée », a expliqué un porte-parole auprès du journal NRC Handelsblad.
Avec le recul, on ne peut pas dire que Booking.com se soit vraiment bien soucié de la vie privée de ses clients, car ce type d’espionnage a justement pour but de surveiller les déplacements des personnes.
« Ce type d’informations volées peut être utilisé pour placer des personnes sur des listes d’interdiction de vol, leur interdire d’entrer dans certains pays ou les mettre sur écoute », a souligné Gerrit-Jan Zwenne, professeur de droit à l’université de Leiden, auprès de NRC Handlesblad.
Le risque d’un effet négatif sur la vie privée était donc bel et bien présent.
source : 01net