Fraudes à la carte bancaire : la faille hôtelière

Réserver une chambre d’hôtel sur Internet est devenu d’une extrême banalité. Mais qui se pose la question de la sécurisation du stockage et de l’accès aux informations de paiement par carte bancaire fournies lors de la réservation ? Récemment, la rédaction du MagIT a pu constater une faille béante dans le système. À son origine, une certaine culture du monde hôtelier dont des experts s’accordent à considérer qu’elle gagnerait à être changée. Mais que ce sera probablement difficile.

Difficile de savoir précisément ce que représente, en France, la vente de nuitées d’hôtel par Internet, que ce soit en valeur ou en volume : Mark Watkins, Pdg de CoachOmnium, indique ne pas disposer de chiffres sérieux, soulignant même que circulent les chiffres «les plus fantaisistes ». Nous avons demandé des chiffres à Hotels.com ainsi qu’à Expedia; ce dernier évoque la vente de 28,7 millions de nuitées, dans le monde entier, via sa plateforme, au troisième trimestre 2011 (+16 % sur un an). Autre indicateur : selon la Fevad, au troisième trimestre 2011, 10,2 millions d’internautes ont consulté, chaque mois, au moins l’un des 5 principaux sites Web de voyagistes en ligne : Voyages-Sncf.com, VoyagePrive, Promovacances, lastminute.com, ou encore Opodo. De quoi laisser à penser que réserver un voyage complet, ou une simple chambre d’hôtel par Internet est tout sauf marginal. 

Mais que deviennent les détails de paiement par carte bancaire fournis lors de la réservation d’une nuitée à l’hôtel, par Internet ? Micaela Zanarini, porte-parole de Venere.com, un site partenaire de Hotels.com, tous deux étant filiales d’Expedia.com, explique fonctionner selon un modèle d’agence, «ce qui signifie que vous pouvez réserver une chambre sur Venere.com en fournissant vos détails de carte de crédit à titre de garantie puis en réglant directement à l’hôtel lors du check-out ». Ces détails sont stockés dans le système d’information de Venere.com. Le cas échéant, si une réservation est faite via Hotels.com pour une offre effectivement gérée par Venere.com, les détails de carte bancaire circulent de l’un à l’autre. 

Le facteur humain

Le standard PCI DSS définit des impératifs de sécurité à appliquer à ces données sensibles. Amichai Shulman, co-fondateur et directeur technique d’Imperva, dirige le centre de recherche de l’entreprise consacré à la sécurité et à la conformité. Il explique que ces détails de carte bancaire ne doivent «pas être transférés ni stockés en clair». Comprendre qu’ils doivent être chiffrés. Mais le standard «reconnaît que certaines situations peuvent requérir la possibilité d’un accès non chiffré aux données présentes dans le système ». Chez Nomios, Arnaud Cassagne, directeur technique, souligne un «certain flou» dans le standard, qui prévoit que cette possibilité doit être «limitée aux seules personnes qui peuvent en avoir besoin»... Sans compter certaines provisions «difficilement applicables selon les pays », comme par exemple l’obligation de vérification des antécédents judiciaires et de la solvabilité financière des personnes susceptibles d’accéder aux détails des cartes bancaires. 

Retrouver ses détails de carte bancaire - complets, avec cryptogramme visuel... - écrits au crayon à papier sur une fiche de réservation, à la réception d’un hôtel apparaît ainsi tout à fait envisageable, malgré le risque que cela peut représenter. Et c’est ce qui est arrivé récemment à l’un des membres de la rédaction après une nuit passée dans un petit hôtel parisien. Un épisode «très étrange», pour Micaela Zanarini, qui indique n’avoir «jamais entendu parler d’un incident pareil auparavant ». Et d’expliquer pourquoi un tel incident est toutefois possible : «l’hôtel exige tous les détails de contact et de garantie du client et peut y accéder au sein de notre extranet où il peut, après avoir vérifié la validité de la carte de crédit, accepter ou refuser la réservation. [...] En conséquence, l’hôtelier peut bien évidemment accéder aux détails de la carte bancaire.» Pour la porte-parole de Venere.com, c’est un peu comme lors d’une réservation directe auprès de l’hôtel : «vous fournissez la carte de crédit. Et ce qui en est fait dépend de l’hôtelier... Dans notre système, elle est bien plus en sécurité.»

Amichai Shulman ne partage pas exactement cette analyse : «mon sentiment personnel est que les détails de la carte bancaire sont susceptibles de passer entre de trop nombreuses mains.» Pour Arnaud Cassagne, l’hôtel où l’incident a été constaté respecte peut-être PCI DSS «au niveau technique », mais il s’interroge sur la conformité de ses processus «au niveau de l’humain ».

Des freins culturels

La solution serait d’augmenter le périmètre d’intervention d’intermédiaires techniques et commerciaux tels que Venere.com : leur système informatique pourrait assurer la vérification de la carte bancaire dont les détails ont été fournis par le client, et même servir d’intermédiaire de facturation en cas de non présentation du client ou d’annulation tardive. Les détails de paiement n’auraient jamais à sortir de son système d’information jusqu’au règlement direct de la nuitée, à l’hôtel, lors du check-out, ou pour la pré-autorisation, pour les extras, lors du check-in. «Ce serait définitivement plus sûr », reconnaît Micaela Zanarini. Pour Arnaud Cassagne, «cela semble tout simplement logique ». Mais la porte-parole de Venere.com explique que les «hoteliers ne veulent pas d’un tel processus ». La culture contre le bon sens...

Le client n’est donc, in fine, protégé du risque d’utilisation frauduleuse de sa carte bancaire - par un membre du personnel de l’hôtel ou par un client quelque peu opportuniste - que par les politiques de garantie de l’établissement émetteur de la carte. Pour Amichai Shulman, une utilisation frauduleuse, c’est beaucoup de soucis mais généralement «peu de conséquences financières ». Et Arnaud Cassagne souligne l’évolution des systèmes experts de lutte contre la fraude, évoquant ceux d’Americain Express ou encore de Boursorama Banque, devenus particulièrement réactifs. Mais est-ce bien suffisant ?

Pour approfondir sur Authentification et signature électronique

Participer à la conversation

1 commentaire

M'envoyer une notification dès qu'un autre membre commente.

Merci de créer un identifiant pour pouvoir poster votre commentaire.

J’ai rencontré un homme sur un site de rencontre et, pendant plusieurs semaines, nous avons longuement dialogué par mail et sur MSN et nous nous sommes même vus à la CAM. Il réunissait tous les critères que je recherche chez un homme : gentil, sensible, romantique et, physiquement, tout à fait mon type d’homme. Lors de nos conversations, il m’a dit qu’il avait créé une fondation en Afrique pour aider des petits orphelins qu’il avait pris sous sa protection. Donc, à force de discussion, il m’a convaincu d’envoyer une somme d’argent en Côte d’Ivoire à Mr DUPRI Fréderic. J’ai même eu cet individu au téléphone qui m’a informé que mon ami Martin DUVAL, domicilié à NICE, s’était rendu auprès des enfants et ne pouvait pas revenir car il avait eu un accident en allant à l’aéroport pour rentrer en France. Nous devions nous voir le 20 Novembre 2012 mais il a quitté la France depuis le 08 Novembre et n’est toujours pas rentré ! J’ai

essayé de l’appeler, j’ai demandé à lui parler mais la personne que j’ai eu au bout du fil avait un accent africain que je ne connaissais pas ; je lui ai dit que je ne croyais absolument pas qu’il était l’homme que j’avais vu à la CAM et qui était sur les photos qu’il ma transmises par mail. Depuis ce jour, je n’ai plus aucune nouvelle. Pour me prouver sa bonne foi, je lui avais demandé de me scanner ses papiers d’identité afin que je sois rassurée. J’ai donc une copie de sa carte d’identité et de son permis de conduire : il vit aux environs de NICE, il est né le 22 novembre 1966 et il s’appelle Martin DUVAL… mais tout est en fait faux puisqu’ils utilisent des pièces d’identité volées à des français. Cela m’a été confirmé par l’organisme de service anti-fraude qui m’a beaucoup aidé à récupérer l’argent envoyé tout en mettant la main sur ces arnaqueurs qui, apriori, habitent en Afrique. A l’époque, je l’ai d� �oncé sur le site où je suis inscrite et ils m’ont conseillé de prendre contact avec un organisme Interpole en lutte contre la cybercriminalité. Tout au long de cette histoire, je lui ai fait parvenir au total 19,000€ afin de pouvoir l’aider et faire en sorte à ce qu’il me rejoigne très vite comme nous cela était convenu parce que j’y croyais vraiment ! Avec l’aide d’une amie, j’ai pris contact avec un organisme de cyber-antifraude en COTE D’IVOIRE et en collaboration avec l’inspecteur de police EMIL; eux aussi m’ont vraiment aidé à le démasquer car c’était bel et bien un Africain en complicité avec des collaborateurs escrocs et autres professionnels du net qui m’ont dépouillé. Heureusement pour moi, ils ont finalement été démasqués et arrêtés,avec l’aide de l’organisme Interpole en lutte contre la cybercriminalité et MR. LAURENT DUBOIS Finalement, je me suis faite rembourser la totalité de mon argent suivi des frais de d

édommagement ce qui représente un total de 22,000€. Alors, si toi aussi tu es dans ce cas, confie toi et n’hésite pas ! Portez maintes plaintes afin de demander plus d’aide jusqu’à la satisfaction et remboursement officiel ! Écris ton témoignage afin d’aider d’autres personnes à ne pas être victime et, j’en suis convaincue, cela aura des effets positifs car ils vont t’aider à mettre la main sur ces personnes de mauvaise foi. Ensuite, toutes les sommes d’argent que tu as eu à envoyer à ces escrocs seront remboursées, accompagnées par des frais de dédommagement. Voici le contact mail de l’organisme qui m’a aidé : E-mail : lieutenat.bubois@outlook.fr
Annuler

- ANNONCES GOOGLE

Close