Au moins dix hôtels en Italie ont déjà été touchés par une cyberattaque cet été. Les données d’identité de milliers de clients d’hôtels sont en vente.
L’Italie ne souffre pas seulement d’une vague de chaleur, le pays fait également face à une vague de cyberattaques visant les hôtels. L’agence nationale italienne de cybersécurité AGID confirme qu’au moins dix hôtels ont été touchés et s’attend à ce que ce ne soit pas les derniers. Cela pourrait aussi être une mauvaise nouvelle pour ceux qui se sont récemment rendus en Italie en vacances ou en voyage d’affaires.
Le pirate, qui opère sous le pseudonyme mydocs, cible les données d’identité des clients ayant séjourné dans les hôtels. Sur des forums de pirates, il vend des scans de documents d’identité tels que des passeports. Selon l’AGID, il s’agit déjà de dizaines de milliers de scans de « haute qualité ».
Données d’identité à vendre
Depuis juin, la base de données contenant les identités volées s’est progressivement élargie. L’attaquant a obtenu les données via un accès non autorisé aux systèmes informatiques des hôtels. Après les premiers signalements des hôtels touchés, le nombre de notifications et de données publiées a rapidement augmenté.
Le dernier « lot » date de mardi soir. La base de données contiendrait désormais des scans d’environ 100 000 documents individuels. L’AGID confirme l’authenticité des données mises en vente. On ne sait pas exactement jusqu’à quand remonte la base de données, mais pour un hôtel touché à Rome, il pourrait s’agir de scans de clients ayant séjourné il y a des années.
L’autorité italienne conseille d’être particulièrement vigilant dans les semaines à venir. Un scan de qualité de votre carte d’identité est une mine d’or potentielle pour les cybercriminels et les fraudeurs. L’AGID met en garde contre la fraude bancaire, le vol d’identité et les attaques d’ingénierie sociale, avec des conséquences personnelles et financières potentiellement dramatiques.
Sécurité à l’hôtel
Même si vous n’êtes pas allé récemment en Italie, il y a une leçon à en tirer. De nos jours, presque tous les hôtels demandent votre carte d’identité lors de l’enregistrement. Cela est autorisé, sous réserve du consentement écrit du client.
La législation concernant le droit d’un hôtel de faire une copie de votre carte d’identité ou de simplement transcrire les données varie selon les pays. Aux Pays-Bas, par exemple, faire une copie ou un scan n’est pas autorisé.
Cependant, les hôtels (et autres entreprises) oublient parfois, consciemment ou non, de supprimer vos données une fois qu’ils n’en ont plus besoin. Sachez qu’en tant que consommateur, vous avez le droit d’exiger que vos données soient immédiatement supprimées après votre séjour. Un simple e-mail devrait en principe suffire.