alexlukin - Fotolia

Brèche sur des données de paiement dans le système de réservation de Sabre

Le spécialiste des services informatiques pour l’industrie du voyage vient de reconnaître un accès non autorisé à son système de réservation SynXis pour l’hôtellerie. Des données de paiement sont susceptibles d’avoir été compromises.

Sabre, fournisseur de solutions informatiques pour compagnies aériennes, le monde du voyage et l’industrie hôtelière, vient de faire état, dans ses déclarations au gendarme des marchés boursiers américains, d’une intrusion dans son système centralisé de gestion de réservation de chambres de d’hôtel, SynXis.

Il indique ainsi « enquêter sur un incident impliquant l’accès non autorisé aux informations de paiement contenues dans un sous-ensemble de réservations hôtelières traitées » via ce système. Sabre assure que l’intrusion a été bloquée et qu’il « n’y a pas d’indication de poursuite d’activité non autorisée à ce stade ».

Selon notre confrère Brian Krebs, c’est Mandiant qui a été sollicité pour l’enquête, en coopération avec les forces de l’ordre. Sabre indique « qu’il y a un risque que l’enquête révèle que des informations personnelles identifiables, des informations de paiement par carte, et d’autres informations aient été compromises ». Il se réserve d’indiquer ou même d’estimer le volume de données affectées, et ne fournit pas non plus de précisions quant à la nature de l’incident, sa chronologie ou les circonstances de sa découverte.

Cet incident est loin d’être une première. Mi-avril, le groupe hôtelier Intercontinental a reconnu un vaste incident de sécurité ayant touché les systèmes de paiement de nombre de ses hôtels entre l’Amérique du Nord et Porto Rico, entre la fin septembre et la fin décembre 2016. Les hôtels qui avaient mis en œuvre, avant le début de l’intrusion, la solution d’autorisation de paiements chiffrée de bout en bout du groupe (SPS) n’ont pas été affectés.

Il y a un peu plus d’un an, le groupe Hyatt avait reconnu la compromission des terminaux de paiement de plus de 250 de ses hôtels. Le groupe Hilton a également été visé fin 2015, ainsi que le groupe Starwood. Et c’était après que le groupe Mandarin Oriental ait lui-même été attaqué début 2015.

Mi-2016, dans un billet de blog, le directeur technique des PandaLabs avait procédé au déroulé d’une attaque par hameçonnage ciblé contre une chaîne hôtelière. Cela avait été l’occasion de souligner certaines pratiques courantes dans le secteur, mais qui laissent dubitatif. Fin 2011, la rédaction du MagIT avait pu constater des failles surprenantes, béantes, dans le monde de l’hôtellerie. Micaela Zanarini, alors porte-parole de Venere.com, un site partenaire de la filiale d’Expedia.com Hotels.com, nous avait alors expliqué qu’au moment de la réservation en ligne, « vous fournissez la carte de crédit. Et ce qui en est fait dépend de l’hôtelier ». Amichai Shulman, co-fondateur d’Imperva, s’alarmait quant à lui du risque de voir les détails de carte bancaire « passer entre de trop nombreuses mains ».

Pour approfondir sur Cyberdélinquance