Retrouvez l'actualité du Tourisme pour les professionnels du secteur tourisme avec l'Echo Touristique : agences de voyages, GDS, prestataires spécialisés, voyagistes

L’agence de voyages en ligne Option Way, victime d’une faille de sécurité

E-tourismeTechnologie
Par Linda Lainé

L’OTA française Option Way a connu une fuite de données personnelles relative à 1 500 réservations aériennes. La faille de sécurité a vite été résolue.

L’agence de voyages en ligne Option Way, victime d’une faille de sécurité
Option Way va mener un audit de sécurité. © Adobe Stock

Le média israélien spécialisé en cybersécurité VPN Mentor a réussi à récupérer 100 Go d’informations confidentielles provenant du site de voyages Option Way. « Nous leur avons demandé de détruire ces informations, souligne Mathieu Chauvin, président et délégué à la protection des données. VPN Mentor joue le rôle de lanceur d’alertes sur les failles de sécurité, il n’a pas vocation à utiliser les données de manière frauduleuse. Son équipe nous a donc prévenus, avant même de divulguer (sur son site) l’existence de la faille de sécurité. Nous avons aussitôt identifié et résolu le problème. »

Des logs sur 15 jours

Plus précisément, quelles données ont été potentiellement accessibles à tous ? Dans son rapport , VPN Mentor évoque des datas sensibles : noms, dates de naissance, adresses email et postales, numéros de téléphone, dates et destination de voyage. Cette brèche a donc exposé Option Way à « d’éventuels piratages, et les utilisateurs d’Option Way à de nombreuses fraudes potentielles », assure le média dans son rapport. VPN Mentor indique aussi avoir eu accès à la carte bancaire de l’OTA, ce que Mathieu Chauvin nie formellement.

100 Go d’informations, la quantité semble importante. « Ce sont de gros volumes d’informations, puisqu’il s’agit de logs, soit les historiques d’information sur 15 jours de réservation », ajoute le patron de l’OTA française. La faille de sécurité concernait la sécurisation du système d’indexation des logs, qui n’a pas été correctement mise à jour le 24 juillet 2019, explique Option Way. « Seul ce serveur, avec 15 jours d’historique, a été accessible. La brèche n’a pas touché le reste du système d’information de production et la base de données. » Les partenaires d’Option Way n’ont pas été impactés non plus, assure le président.

Une erreur humaine, qui « ne doit jamais se reproduire »

D’où vient la brèche ? « C’était un port mal paramétré, une erreur humaine, à l’occasion d’une migration. » La « porte d’accès » au serveur n’avait pas été fermée. Après avoir résolu le problème, Option Way a appliqué la réglementation RGPD, et adressé une notification de violation de données à la CNIL.

L’agence en ligne a, depuis, renforcé ses mesures de sécurité, et s’engage à procéder à un audit de sécurité informatique, pour toujours mieux protéger ses clients français, mais aussi étrangers. « Cet événement ne doit jamais se reproduire », ajoute Mathieu Chauvin. C’est important pour la santé technologique et financière de l’entreprise, mais aussi pour son image.

 

Voici un exemple de données montrant les détails des renseignements personnels d’un client :

Les commentaires sont fermés.

Dans la même rubrique

Locations saisonnières : Guesty lève 130 millions de dollars

Voyage : Google Maps monte en puissance, mais Bruxelles le freine

Travel d’Or 2024 : les lauréats sont…

Frédéric Mazzella : « Les Travel d’Or récompensent l’excellence de l’expérience…

Technologie : 60% des aéroports prévoient de déployer la biométrie

Internet en voyage : la start-up Kolet lève 5 millions d’euros