20/06/2011

hôtels et sécurité des cartes CB

J'étais en train de réserver un hôtel par téléphone et ( évidemment) arrive le moment où la fille me demande mon numéro : "j'aurai juste besoin de votre numéro de CB, la date et ...comment cela s'appelle...oui...le cryptogramme". Bref.

Je lui demande où elle va le saisir. Réponse : "sur un papier et dans l'ordinateur". Je lui demande alors s'il n'y a pas un autre moyen. Elle me propose de lui envoyer un mail avec le numéro dedans (encore mieux). Je lui demande si je peux le faire sur leur site web ou sur booking.com, car j'ai un peu peur de voir mon numéro trainer. Elle m'explique qu'avec booking.com, c'est pareil, car ils leur envoient le numéro par email ensuite.

Franchement, on est très loin de la sécurité. Après l'affaire Best Western  où le poste du standard était vérolé par un Trojan capteur de CB, rien n'a changé. Le monde de l'hôtellerie est très loin d'avoir un niveau de sécurité acceptable. Les cartes bancaires des clients utilisées pour les réservations sont loin d'être protégées. 

Les chaines d'hôtel doivent passer au PCI DSS et changer leurs méthodes archaïques. C'est limite hors-la-loi d'après une délibération de la CNIL : il est interdit de conserver les cryptogrammes ! En 2007, la CNIL avait déjà fait des contrôles et des observations dans des hôtels (lire "Du bon usage des données bancaires collectées par les hôtels" sur le site de la CNIL), résultat ? rien n'a changé.  Les grandes chaines d'hôtels ont évidemment des projets PCI DSS en cours, mais ils sont loin d'être finis. Et, les hôtels indépendants ne peuvent pas être conformes. Les éditeurs de logiciels d'hôtellerie, avec qui j'ai régulièrement des discussions, ne voient le problème. Les numéros de CB (PAN) sont stockés en clair dans une base Microsoft Access locale sur les postes (jamais patché)...

Aucun commentaire:

Enregistrer un commentaire