Spécialisé dans les solutions de gestion, pilotage de campagnes marketing, d'optimisation de revenus et de veille concurrentielle pour le secteur hôtellier, Fastbooking a été la cible d'un important piratage. Les solutions de cet éditeur français, racheté en 2015 par le groupe AccorHotels, fournit ses solutions à près de 4 000 hôtels dans une centaine de pays dans le monde. « L'intrusion a impacté majoritairement les hôtels au Japon et l'ensemble des hôtels concernés ont été informés », nous a indiqué Isabelle Falque, directrice marketing et communication de FastBooking qui n'a cependant pas répondu sur le nombre d'établissements impactés.
D'après Bleepingcomputer, près de 1 000 hôtels pourraient être concernés par ce piratage, incluant 380 sites du groupe japonais Prince Hotel qui déplore la compromission de 124 963 données clients, incluant noms, adresses et numéros de cartes bancaires. « Les données concernées sont des données de réservation et, dans une moindre mesure, des données de cartes bancaires qui étaient entièrement cryptées », précise Isabelle Falque.
5 jours entre la découverte et la neutralisation du piratage
En France, le groupe Barrière, qui a pour prestataire Fastbooking, a prévenu ses clients par mail : « Dans le cadre de la gestion de nos réservations, nous utilions les services d'un prestataire nommé Fastbooking. Celui-ci vient de nous informer qu'il avait suvi un incident de sécurité ayant permis un accès non autorisé dans son système informatique et que certaines informations relatives à des réservations ont pu être dérobées. Après une analyse précise de la situation, celui-ci nous a informé que les informations suivantes vous concernant faisaient partie potentiellement des données dérobées : nom, prénom, email, nationalité et parfois adresse, date d'arrivée et date de départ, montant et numéro de la réservation ».
Le piratage de Fastbooking a eu lieu le 14 juin 2018 mais a été découvert le 19 juin à 13h40 UTC, avant d'être neutralisé le même jour à 21h02 UTC. « Une vulnérabilité dans une application hébergée sur le serveur a été utilisée pour installer un outil malveillant permettant l'accès à distance aux données stockées sur le serveur. L'outil a été utilisé pour exfiltrer les données », a précisé dans un document Fastbooking. « Fastbooking a immédiatement éradiqué la vulnérabilité et a pris des mesures pour empêcher un incident récurrent et d'atténuer les conséquences en mettant en oeuvre plus de normes de sécurité, changer les mots de passe sur nos systèmes, etc. »
Une plainte déposée auprès de la brigade d'enquêtes du BEFTI
Aujourd’hui, Fastbooking est aidée par une société extérieure, Forensic Investigator, et continue d’enquêter pour s’assurer de la robustesse de ses systèmes. « Par ailleurs, une plainte a été déposée auprès de la Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information (BEFTI) et les organismes de paiement ont été informés », nous a aussi signalé Isabelle Falque.