×

L'Hôtellerie Restauration et ses partenaires utilisent des «cookies» pour assurer le bon fonctionnement et la sécurité du site, améliorer votre expérience, personnaliser des contenus et publicités en fonction de votre navigation et de votre profil, réaliser des statistiques et mesures d'audiences afin d’évaluer la performance des contenus et publicités, et partager des contenus sur les réseaux sociaux.

Certains de ces cookies sont soumis à votre consentement. Vous pouvez exprimer votre choix de manière globale, ou paramétrer vos préférences par finalité de cookies. Vous pouvez modifier ces choix à tout moment par le lien en bas page.

Accédez à notre politique cookies en cliquant ici




Actualités
Accueil > Actualités > Juridique et social

Soyez vigilant face à deux cyberattaques sur vos extranets Booking.com

Juridique et social - vendredi 13 janvier 2023 14:59
Ajouter l'article à mes favoris
Suivre les commentaires
Poser une question
Ajouter un commentaire
Partager :
Article réservé aux abonnés

Depuis une semaine le GNI-GHR vous alerte sur deux cyberattaques qui interviennent via votre extranet Booking.com. Une des méthodes consiste en un "cheval de Troie" et l'autre un "phishing de vos clients". Comment être vigilant face à ces cyberattaques et quelle est la conduite à tenir. L'organisation professionnelle déplore aussi le manque d'accompagnement de Booking.com dans cette faille de sécurité.



Le GNI vous invite également à vérifier au plus vite si vous êtes concerné par l'une ou l'autre des attaques et à bien vous assurer que votre antivirus est à jour (attention certains antivirus ne détectent pas le fichier malveillant).
© GettyImages
Le GNI vous invite également à vérifier au plus vite si vous êtes concerné par l'une ou l'autre des attaques et à bien vous assurer que votre antivirus est à jour (attention certains antivirus ne détectent pas le fichier malveillant).

Le cheval de Troie

La première cyberattaque est une arnaque bien montée de (faux) clients Booking.com. On a repéré Christian Robinson (Espagne), Alisa Matasova (Espagne), Lie Hang (Chine) et Song Jerem (Chine) mais ils prendront sûrement rapidement un autre nom. Leur méthode est simple, ils vous demandent l’adresse mail directe de l’hôtel sous prétexte de vous envoyer un mail contenant un lien prétendument de Google Maps.

Or ce lien contient un fichier exécutable contenant un ensemble de virus. Ceux-ci s’emparent notamment de vos mots de passe enregistrés dans les navigateurs web, les cookies de sessions (si vous avez changé le mot de passe et avez fermé votre navigateur sans vous déconnecter…), communiquent avec le serveur à distance des cybercriminels… et bien d’autres éléments pas tous encore définis.

Dans tous les cas vos PC et tout votre réseau peuvent être infectés. Il semble que l’objectif soit de prendre notamment la main sur votre extranet Booking.com pour changer votre nom d’enseigne, vos coordonnées, chambres et vos tarifs.

 

A noter : certains antivirus (une petite dizaine seulement) détectent le lien contaminé et d’autres non ! Soyez vigilants dès le message envoyé via la messagerie Booking.com. Certes de plus en plus d’antivirus vont pouvoir détecter le fichier malveillant mais en parallèle les cybercriminels risquent de développer d'autres virus similaires si le premier se trouvait systématiquement bloqué.

 

A retenir : La procédure suivi par les cybercriminels va probablement évoluer mais pour l’instant on est sur un schéma simple : un client arrivant par Booking.com fait une demande d’adresse mail direct (l’objectif étant de sortir de l’environnement Booking.com) quel qu'en soit le prétexte. Par la suite, ils envoient un mail incitant l'hôtel à cliquer sur un lien (ou ouvrir une pièce-jointe). Toute demande de client suivant ce schéma doit être considérée comme fortement suspect. Informez bien tous les membres de vos équipes qui ont accès à vos adresses mails de la situation !

 

Le phishing de vos clients

La seconde cyberattaque est plus subtile car elle peut provenir du hacking précédent comme d’une autre faille de sécurité que nous n’avons pas encore détectée. Les cybercriminels prennent contact directement avec vos clients Booking soit via la messagerie de l’extranet soit via WhatsApp. Dans tous les cas les clients sont invités à cliquer sur un lien et à indiquer leur carte bancaire.

 

Comment réagir

Le GNI vous invite tout d’abord à :

  • Préserver autant que possible toutes les preuves possibles (copies d’écran…) par votre prestataire informatique ;
  • Faire un scan de tous vos PC (par exemple avec Rogue Killer)
  • Changer tous vos mots de passe même si vous l’avez fait récemment (tant que le PC est infecté le changement de mot de passe reste une procédure insuffisante) et en utilisant un mot de passe très fort.

 

Le GNI vous invite également à vérifier au plus vite si vous êtes concerné par l’une ou l’autre des attaques et à bien vous assurer que votre antivirus est à jour (attention certains antivirus ne détectent pas le fichier malveillant).

 

Si vous êtes concernés, il faut être très rigoureux :

  • Pour éviter que la fraude se poursuive, pour l’instant la seule parade connue est de couper la connectivité avec le site infecté (Booking.com, le site direct…).
  • Déposez plainte au commissariat le plus proche pour atteinte à un système de traitement automatisé de données STAD (articles 323-1 à 323-7 du Code pénal) et faites-nous remonter les numéros de procédures afin que nous puissions les communiquer au parquet ;
  • Faites une déclaration à la CNIL pour signaler la faille de sécurité, en indiquant Booking.com comme organisme tiers impliqué ;
  • Prévenez les clients concernés de la faille de sécurité ainsi que les autres clients de ne pas cliquer sur ce type de lien (obligation prévue par le RGPD ;
  • Faites un signalement à Booking.com sur le lien suivant https://partner.booking.com/en-us/help/legal-security/security/report-security-issue ;

 

Les actions du GNI

Le GNI a été prévenu très tôt de ces cyberattaques et a immédiatement veillé à vous prévenir (notamment via les réseaux sociaux).

 

De même Booking.com a été contacté immédiatement pour s’assurer que la situation était bien prise en main par leur Département Sécurité. Aucune confirmation écrite n’est encore parvenue au GNI.

 

Le GNI a notamment saisi la plateforme cybermalveillance.gouv.fr qui l’accompagne désormais pour coordonner la réaction des hôteliers. Ils ont également transmis les éléments au Parquet de Paris. Celui-ci a la compétence pour rassembler toutes les affaires dont les plaintes auraient été déposées d’où notre besoin de recenser l’étendue des attaques et tous les numéros de dépôts de plainte.

Il a pour l’instant mandaté l’OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication) qui va donc surveiller de près l’évolution de ces cybercriminels.

 

De même la DGCCRF et la CNIL ont été informés par le GNI de ce dossier afin de leur signaler le manque d’accompagnement de Booking.com dans cette faille de sécurité (dont on n’exclut pas qu’elle vienne pour partie de chez eux) notamment dans la détection des réservations frauduleuses et son manque de communication auprès des utilisateurs (consommateurs) de leur plateforme (Obligation RGPD).

 

A noter : Pour attraper les cybercriminels, les enquêteurs vont avoir besoin d’hôtels volontaires qui acceptent de mettre sous séquestre les machines de l’hôtel potentiellement compromises avant tout nettoyage pour éviter de perdre les traces.

Merci de vous signaler à la directrice Europe et Numérique du GNI, Véronique Martens, v.martens@gni-hcr.fr si vous êtes volontaires d’une part, si vous avez le moindre doute ou le moindre élément susceptible de faire avancer l’affaire.

#Cyberattaque 

Journal & Magazine
N° 3791 -
03 février 2023
SOS Experts
Une question > Une réponse
Gestion en CHR : outils pratiques
par Jean-Claude Oulé
Services