Fastbooking : une faille de sécurité touche potentiellement des centaines de milliers de clients d’hôtels

L’information a fuité par le Japon où le président de Prince Hotels a déclaré en conférence de presse que 43 de ses hôtels situés au Japon avait été touchés par l’attaque d’un des serveurs de Fastbooking, affectant 124.963 de leurs clients dont les coordonnées bancaires ont été dérobées.

380 hôtels rien qu’au Japon mais on ne sait pas combien ailleurs

Le responsable du marché japonais chez Fastbooking a déclaré à Bleeping Computerque 380 hôtels japonais avaient été impactés au total.

Si 42 hôtels ont touché plus de cent mille clients, on se doute que les 380 hôtels japonais impactés représentent des centaines de milliers de clients dont les coordonnées bancaires ont été dérobées.

Combien d’hôtels impactés hors du Japon ?

La faille : des détails incomplets

D’après Bleeping Computer, la faille aurait été créée le 14 juin 2018 à 08:43PM UTC, découverte le 19 juin 2018 à 03:40PM UTC par les équipes de Fastbooking et le problème réglé le 19 juin 2019 à 09:02PM UTC.

Le voleur aurait réussi à installer un malware sur un des serveurs de Fastbooking et c’est par ce serveur qu’il aurait réussi à extraire des données.

Dans le cadre de la norme PCI-DSS destinée à sécuriser les données de carte de paiement des clients, la sécurité est censée être très forte sur ce type de données sensibles. Il appartiendra donc à Fastbooking de fournir des explications détaillées sans lesquelles il est à ce stade difficile d’identifier d’éventuelles défaillances et de facto de potentielles responsabilités.

ZERO communication officielle

Depuis le 19 juin, zéro communication officielle. Certes Fastbooking a prévenu les hôtels impactés et leur a fourni une matrice de document pour prévenir les clients, néanmoins aucune communication officielle n’est venue expliquer le problème une semaine après qu’il ait été découvert.

Nous avons bien évidemment contacté le service communication de Fastbooking qui à cette heure n’a pas répondu à notre demande d’information. En cas de réponse de leur part, cette page sera mise à jour.

Il est heureux que le RGPD ait depuis peu imposé aux entreprises de prévenir leurs clients européens en cas de faille de sécurité. Dans le contexte du silence officiel de Fastbooking vers les médias depuis une semaine, on peut légitimement s’interroger…

Historique récent de Fastbooking

Pour rappel, Fastbooking avait été acheté par Accor en 2015, puis avait été rejoint par availpro en avril 2017 afin de créer une place de marché pour les hôtels indépendants, cette place de marché ayant finalement été abandonnée en novembre 2017.

Depuis, il circule dans les milieux avisés que le package Fastbooking-Availpro serait à vendre, ce que dément formellement le service de presse d’AccorHotels. C’est tout-à-fait normal que cette information soit démentie par AccorHotels car pourrait-il en être autrement si les discussions étaient en cours avec de potentiels acquéreurs ?