Fraudes à la carte bancaire : la faille hôtelière

Réserver une chambre d’hôtel sur Internet est devenu d’une extrême banalité. Mais qui se pose la question de la sécurisation du stockage et de l’accès aux informations de paiement par carte bancaire fournies lors de la réservation ? Récemment, la rédaction du MagIT a pu constater une faille béante dans le système. À son origine, une certaine culture du monde hôtelier dont des experts s’accordent à considérer qu’elle gagnerait à être changée. Mais que ce sera probablement difficile.

Difficile de savoir précisément ce que représente, en France, la vente de nuitées d’hôtel par Internet, que ce soit en valeur ou en volume : Mark Watkins, Pdg de CoachOmnium, indique ne pas disposer de chiffres sérieux, soulignant même que circulent les chiffres «les plus fantaisistes ». Nous avons demandé des chiffres à Hotels.com ainsi qu’à Expedia; ce dernier évoque la vente de 28,7 millions de nuitées, dans le monde entier, via sa plateforme, au troisième trimestre 2011 (+16 % sur un an). Autre indicateur : selon la Fevad, au troisième trimestre 2011, 10,2 millions d’internautes ont consulté, chaque mois, au moins l’un des 5 principaux sites Web de voyagistes en ligne : Voyages-Sncf.com, VoyagePrive, Promovacances, lastminute.com, ou encore Opodo. De quoi laisser à penser que réserver un voyage complet, ou une simple chambre d’hôtel par Internet est tout sauf marginal. 

Mais que deviennent les détails de paiement par carte bancaire fournis lors de la réservation d’une nuitée à l’hôtel, par Internet ? Micaela Zanarini, porte-parole de Venere.com, un site partenaire de Hotels.com, tous deux étant filiales d’Expedia.com, explique fonctionner selon un modèle d’agence, «ce qui signifie que vous pouvez réserver une chambre sur Venere.com en fournissant vos détails de carte de crédit à titre de garantie puis en réglant directement à l’hôtel lors du check-out ». Ces détails sont stockés dans le système d’information de Venere.com. Le cas échéant, si une réservation est faite via Hotels.com pour une offre effectivement gérée par Venere.com, les détails de carte bancaire circulent de l’un à l’autre. 

Le facteur humain

Le standard PCI DSS définit des impératifs de sécurité à appliquer à ces données sensibles. Amichai Shulman, co-fondateur et directeur technique d’Imperva, dirige le centre de recherche de l’entreprise consacré à la sécurité et à la conformité. Il explique que ces détails de carte bancaire ne doivent «pas être transférés ni stockés en clair». Comprendre qu’ils doivent être chiffrés. Mais le standard «reconnaît que certaines situations peuvent requérir la possibilité d’un accès non chiffré aux données présentes dans le système ». Chez Nomios, Arnaud Cassagne, directeur technique, souligne un «certain flou» dans le standard, qui prévoit que cette possibilité doit être «limitée aux seules personnes qui peuvent en avoir besoin»... Sans compter certaines provisions «difficilement applicables selon les pays », comme par exemple l’obligation de vérification des antécédents judiciaires et de la solvabilité financière des personnes susceptibles d’accéder aux détails des cartes bancaires. 

Retrouver ses détails de carte bancaire - complets, avec cryptogramme visuel... - écrits au crayon à papier sur une fiche de réservation, à la réception d’un hôtel apparaît ainsi tout à fait envisageable, malgré le risque que cela peut représenter. Et c’est ce qui est arrivé récemment à l’un des membres de la rédaction après une nuit passée dans un petit hôtel parisien. Un épisode «très étrange», pour Micaela Zanarini, qui indique n’avoir «jamais entendu parler d’un incident pareil auparavant ». Et d’expliquer pourquoi un tel incident est toutefois possible : «l’hôtel exige tous les détails de contact et de garantie du client et peut y accéder au sein de notre extranet où il peut, après avoir vérifié la validité de la carte de crédit, accepter ou refuser la réservation. [...] En conséquence, l’hôtelier peut bien évidemment accéder aux détails de la carte bancaire.» Pour la porte-parole de Venere.com, c’est un peu comme lors d’une réservation directe auprès de l’hôtel : «vous fournissez la carte de crédit. Et ce qui en est fait dépend de l’hôtelier... Dans notre système, elle est bien plus en sécurité.»

Amichai Shulman ne partage pas exactement cette analyse : «mon sentiment personnel est que les détails de la carte bancaire sont susceptibles de passer entre de trop nombreuses mains.» Pour Arnaud Cassagne, l’hôtel où l’incident a été constaté respecte peut-être PCI DSS «au niveau technique », mais il s’interroge sur la conformité de ses processus «au niveau de l’humain ».

Des freins culturels

La solution serait d’augmenter le périmètre d’intervention d’intermédiaires techniques et commerciaux tels que Venere.com : leur système informatique pourrait assurer la vérification de la carte bancaire dont les détails ont été fournis par le client, et même servir d’intermédiaire de facturation en cas de non présentation du client ou d’annulation tardive. Les détails de paiement n’auraient jamais à sortir de son système d’information jusqu’au règlement direct de la nuitée, à l’hôtel, lors du check-out, ou pour la pré-autorisation, pour les extras, lors du check-in. «Ce serait définitivement plus sûr », reconnaît Micaela Zanarini. Pour Arnaud Cassagne, «cela semble tout simplement logique ». Mais la porte-parole de Venere.com explique que les «hoteliers ne veulent pas d’un tel processus ». La culture contre le bon sens...

Le client n’est donc, in fine, protégé du risque d’utilisation frauduleuse de sa carte bancaire - par un membre du personnel de l’hôtel ou par un client quelque peu opportuniste - que par les politiques de garantie de l’établissement émetteur de la carte. Pour Amichai Shulman, une utilisation frauduleuse, c’est beaucoup de soucis mais généralement «peu de conséquences financières ». Et Arnaud Cassagne souligne l’évolution des systèmes experts de lutte contre la fraude, évoquant ceux d’Americain Express ou encore de Boursorama Banque, devenus particulièrement réactifs. Mais est-ce bien suffisant ?

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)