Un serveur mal paramétré a provoqué la fuite d’identifiants et de coordonnées bancaires au sein de Gekko (Teldar), qui appartient au groupe hôtelier Accor.

La toute nouvelle équipe de Gekko hérite d’un épineux dossier : la plate-forme B2B de réservation d’hôtels fait face à une vaste fuite de données, dont des identifiants et coordonnées bancaires, ont indiqué mercredi l’entreprise et une agence de cybersécurité.

Au moins 130 000 voyageurs concernés

En raison d’un serveur mal paramétré ayant laissé un port de connexion ouvert, des données de 130.000 à 140.000 voyageurs ont été librement accessibles, a indiqué à l’AFP une porte-parole de Gekko, confirmant des informations du quotidien Le Parisien. « Nous avons pris connaissance de l’incident le 13 novembre » et la fuite a été colmatée « le même jour », a-t-elle ajouté, précisant que les personnes concernées ont été averties le 16 novembre.

Les données compromises, provenant « de nombreux pays, la plupart européens », étaient notamment issues de Teldar Travel, le système de réservation destiné aux agences de voyages et salariés d’entreprises, a détaillé mercredi la firme de sécurité informatique israélienne vpnMentor, qui a découvert la faille et alerté Accor. Ces informations représentaient « plus d’un téraoctet » de données, dont des noms, adresses électroniques, identifiants, historiques de réservations, mais aussi les détails de cartes de crédit de certains clients ou agences, précise vpnMentor dans une note de blog. Du fait de ces interactions, la base de données compromise contenait « des volumes importants d’informations venant de sources extérieures », dont Booking.com, ajoute-t-il.

Moins de 900 cartes exposées

Les identifiants de connexion accessibles « pouvaient être utilisés par des pirates pour accéder aux comptes privés » des plates-formes et « imputer des dépenses aux cartes de crédit » stockées, estime-t-il, évoquant aussi les risques de hameçonnage.

Pour autant, « il y a eu moins de 900 cartes de crédit exposées et sans leur cryptogramme visuel obligatoire pour un paiement », a assuré au Parisien Fabrice Perdoncini, PDG de Gekko. Et « nous n’avons absolument pas connaissance » d’éventuels usages frauduleux, a ajouté la porte-parole de l’entreprise.

Fondé en 2009, Gekko est un spécialiste BtoB de la distribution et de la réservation hôtelière en ligne, qui annonce travailler avec quelque 14 000 agences le voyages dans neuf pays. Racheté par Accor en octobre 2017, le groupe propose des services de réservation hôtelière pour les professionnels du voyage et des entreprises.

La Cnil alertée

De son côté, la Commission nationale informatique et libertés (Cnil) a indiqué à l’AFP avoir reçu de Gekko le 16 novembre « une notification de violation de données personnelles ». « Nous avons agi de façon strictement conforme (…) aux délais et procédures » prévus par le Règlement général sur la protection des données (RGPD) comme par la Cnil, souligne-t-on chez Gekko. Le pouvoir de sanction de la Cnil a été renforcé par la loi de 2016 pour la protection des données personnelles, le montant des pénalités financières possibles étant encore relevé par le RGPD, un texte européen entré en vigueur en mai 2018. Sur onze sanctions prononcées par la Cnil l’an dernier, sept concernaient des atteintes à la sécurité des données personnelles.

Le secteur hôtelier est exposé aux fuites de données : Fastbooking, filiale d’Accor spécialisée dans les services digitaux aux hôteliers, avait ainsi été visée en juin 2018 par des cyberattaques et le vol des données de clients particuliers. Le géant mondial de l’hôtellerie Marriott avait, lui, signalé en novembre 2018 le piratage d’une base de données pouvant contenir les informations concernant jusqu’à 383 millions de clients, dont moins de 2.000 numéros de cartes de crédits directement exposés.

Linda Laîné avec l’AFP