Booking a été victime d’une cyberattaque en 2016, mais a décidé de ne pas le révéler

Les dirigeants de l’époque ont estimé que rien ne les obligeait à communiquer l’information.

Un pirate informatique travaillant pour une agence de renseignement américaine aurait piraté les serveurs du site de réservation d’hôtels Booking en 2016. C’est ce que révèle le livre « De Machine : In de ban van Booking.com », dans lequel trois journalistes néerlandais de NRC ont déclaré que les données de milliers utilisateurs avaient été récupérées par une agence de renseignement américaine. Le livre affirme également que le site de réservation a eu connaissance de cette intrusion et a choisi de ne pas divulguer l’information.

Le livre indique que le nom utilisé en interne par Booking.com pour parler de cette intrusion était « PIN-leak », car il concernait le vol des codes PIN de réservation. Grâce à cette intrusion, les pirates auraient eu accès aux réservations d’hôtels pour des pays du Moyen-Orient, obtenant par la même occasion les noms des clients et leurs projets de voyage.

Deux mois après l’incident, une équipe d’enquêteurs privés américains a collaboré avec le service de sécurité de Booking.com et a découvert que l’origine de l’attaque était une entreprise opérant pour une agence de renseignement américaine, qui est restée jusqu’à présent inconnue.

« Aucune obligation d’informer les victimes ou le public »
Le site de réservation a pris la décision de ne pas divulguer l’incident après avoir découvert l’intrusion. C’est un conseiller juridique qui aurait conseillé à Booking.com de ne pas divulguer l’incident aux clients concernés et à l’autorité néerlandaise de protection des données. La société se défend aujourd’hui en déclarant qu’il n’y a eu, selon eux, aucun accès à des informations sensibles ou financières. La société n’était donc tenue à aucune obligation de communication.

« Les dirigeants de l’époque s’efforçaient de suivre les principes de la DDPA (NDLR : une loi néerlandaise sur la protection des données personnelles), qui incitaient les entreprises à prendre des mesures supplémentaires en matière de notification uniquement s’il y avait des effets négatifs réels sur la vie privée des individus, pour lesquels aucune preuve n’a été détectée », a ainsi expliqué un porte-parole auprès du journal NRC Handelsblad.

Des cibles d’intérêts
Ce n’est pas la première fois que ce type d’incident survient. Les données relatives aux voyages et aux réservations d’hôtel sont des cibles intéressantes pour les pirates informatiques travaillant pour des gouvernements nationaux.

On peut par exemple citer l’opération « Royal Concierge » révélée en 2013 par un lanceur d’alerte de la NSA, dans laquelle des espions britanniques du GCHQ ont suivi les réservations de plus de 350 hôtels de luxe dans le monde entier. Les données recueillies lors de cette opération ont été utilisées pour identifier les hôtels où séjournaient des cibles d’intérêt, afin que les agents sur le terrain puissent placer des micros dans leurs chambres.