Belambra, Maeva et Gîtes de France, victimes d’une faille "basique" de cybersécurité - Depositphotos.com Auteur Joykid
TourMaG - Le week-end dernier, un tripe piratage d'acteurs du tourisme a fait la une de l'actualité. Belambra, Maeva et Gites de France ont toutes subi la même type de cyberattaque, provenant du même pirate. Qu'est ce que cela dit du secteur ?
Christophe Mazzola : Je ne dirais pas que le secteur du tourisme est particulièrement ciblé.
Malheureusement, ce genre d’attaque est monnaie courante. C’est vrai qu’aujourd’hui, avec l’écho médiatique, on peut avoir l’impression que c’est la fin du monde, parce que de nouvelles fuites de données apparaissent presque chaque jour.
Le vrai problème, à mon sens, se situe ailleurs.
Il y a en France un problème de perception de la cybersécurité, aussi bien dans les administrations que dans les entreprises. Pendant très longtemps, et c’est encore le cas aujourd’hui, le risque cyber a été considéré comme une variable d’ajustement dans les budgets, et non comme un risque business.
A lire aussi : Réservation piratée : ce qui se joue vraiment derrière la vague Booking-Vivaticket
Si l’on gérait certains risques business avec le même niveau de négligence que l’on gère parfois les risques cyber, certains dirigeants seraient en grande difficulté, voire même en prison.
Prenons l’exemple d’un hôtel.
Un chef d'établissement doit gérer de nombreux risques liés à son bâtiment, que ce soit les risques d’incendie, la sécurité des accès, les normes de protection, etc.
Imaginez maintenant que ce même directeur traite le risque incendie avec le même mépris que certains traitent le risque cybersécurité. Ce serait impensable.
Christophe Mazzola : Je ne dirais pas que le secteur du tourisme est particulièrement ciblé.
Malheureusement, ce genre d’attaque est monnaie courante. C’est vrai qu’aujourd’hui, avec l’écho médiatique, on peut avoir l’impression que c’est la fin du monde, parce que de nouvelles fuites de données apparaissent presque chaque jour.
Le vrai problème, à mon sens, se situe ailleurs.
Il y a en France un problème de perception de la cybersécurité, aussi bien dans les administrations que dans les entreprises. Pendant très longtemps, et c’est encore le cas aujourd’hui, le risque cyber a été considéré comme une variable d’ajustement dans les budgets, et non comme un risque business.
A lire aussi : Réservation piratée : ce qui se joue vraiment derrière la vague Booking-Vivaticket
Si l’on gérait certains risques business avec le même niveau de négligence que l’on gère parfois les risques cyber, certains dirigeants seraient en grande difficulté, voire même en prison.
Prenons l’exemple d’un hôtel.
Un chef d'établissement doit gérer de nombreux risques liés à son bâtiment, que ce soit les risques d’incendie, la sécurité des accès, les normes de protection, etc.
Imaginez maintenant que ce même directeur traite le risque incendie avec le même mépris que certains traitent le risque cybersécurité. Ce serait impensable.
IDOR : une faille "de base que l’on apprend au début d’un cursus informatique"
TourMaG - Dans le cas présent, nous parlons, d'un type de cyberattaque IDOR. Un façon assez peu soffistiquée d'attaquer une enteprise, voire même primaire. Pourriez-vous nous dire ce qu'est ce type de piratage ?
Christophe Mazzola : C’est une faille connue depuis une vingtaine d’années.
Elle est documentée comme faisant partie des vulnérabilités critiques qu’il faut résoudre rapidement. Ce sont des choses de base que l’on apprend au début d’un cursus informatique.
Nous ne sommes pas face à un exploit technique extrêmement sophistiqué, mais plutôt face à une mauvaise compréhension de la sécurité à l’échelle humaine.
Ce n’est pas forcément quelque chose qui demande de grandes compétences techniques. Parfois, il suffit de tester une adresse depuis un autre ordinateur ou un téléphone pour voir si l’accès fonctionne toujours.
IDOR signifie Insecure Direct Object Reference. En français, on pourrait traduire cela par avoir une référence directe à un objet non sécurisé.
C’est-à-dire que si un profil, un fichier ou une facture est stocké directement sur une application, le simple fait de saisir l’adresse directe peut permettre d’y accéder, même sans y être normalement autorisé.
L'IDOR en soit n'est pas un problème, car si vous avez une facture client qui est référencée sous une URL se composant d'une chaîne de caractères de 30 ou 40 caractères, ça va être très compliqué de trouver le suivant.
Mais si, par contre, vous avez à chaque fois des chiffres qui augmentent de manière incrémentale, forcément, ça va être très simple de se dire qu'on va passer de 1, 2, 3, 4, 5 à 1, 2, 3, 4, 5, 6 pour trouver une autre information.
Christophe Mazzola : C’est une faille connue depuis une vingtaine d’années.
Elle est documentée comme faisant partie des vulnérabilités critiques qu’il faut résoudre rapidement. Ce sont des choses de base que l’on apprend au début d’un cursus informatique.
Nous ne sommes pas face à un exploit technique extrêmement sophistiqué, mais plutôt face à une mauvaise compréhension de la sécurité à l’échelle humaine.
Ce n’est pas forcément quelque chose qui demande de grandes compétences techniques. Parfois, il suffit de tester une adresse depuis un autre ordinateur ou un téléphone pour voir si l’accès fonctionne toujours.
IDOR signifie Insecure Direct Object Reference. En français, on pourrait traduire cela par avoir une référence directe à un objet non sécurisé.
C’est-à-dire que si un profil, un fichier ou une facture est stocké directement sur une application, le simple fait de saisir l’adresse directe peut permettre d’y accéder, même sans y être normalement autorisé.
L'IDOR en soit n'est pas un problème, car si vous avez une facture client qui est référencée sous une URL se composant d'une chaîne de caractères de 30 ou 40 caractères, ça va être très compliqué de trouver le suivant.
Mais si, par contre, vous avez à chaque fois des chiffres qui augmentent de manière incrémentale, forcément, ça va être très simple de se dire qu'on va passer de 1, 2, 3, 4, 5 à 1, 2, 3, 4, 5, 6 pour trouver une autre information.
Belambra, Maeva et Gites de France : "ce sont des attaques par opportunité"
TourMaG - Donc il ne faut pas voir dans cette triple attaque quelque chose de dirigé vers le tourisme ?
Christophe Mazzola : Ce genre de faille, nous l'avons rencontré dans un autre cas qui a défrayé la chronique avec le hacking de l'Agence Nationale des Titres Sécurisés (ANTS), le mois dernier.
Nous sommes sur une perception de la sécurité qui, à l'échelle humaine, n'est pas comprise, nous parlons du facteur humain en cybersécurité et c'est encore le cas.
Si je me mets à la place du hacker, je pense qu'il a trouvé une faille sur une des trois fuites, sans doute Maeva. Il a vu que ça fonctionnait et massivement avec cette entreprise, alors il a regardé d'autres acteurs du tourisme, parce que c'est la même logique busines et métier.
Ce genre d'attaque, généralement, c'est des attaques par opportunité.
TourMaG - Quelles pourraient être les conséquences pour des groupes comme Pierre & Vacances, Belambra ou encore Gîtes de France ?
Christophe Mazzola : Ce sera du cas par cas. La CNIL, l’autorité de protection des données, va forcément regarder les dossiers et prononcer sans doute des amendes. On est ici sur le terrain du RGPD (Règlement général sur la protection des données), même si le RGPD comporte aussi un volet sécurité.
Mais, selon moi, tant qu’il n’y aura pas une véritable responsabilité civile ou légale des administrateurs pour s’assurer qu’ils comprennent les risques et sécurisent leurs systèmes, les choses ne bougeront pas assez vite.
Il existe des directives européennes en cours ou déjà adoptées, que la France n’a pas encore pleinement appliquées, qui visent notamment à responsabiliser davantage les dirigeants en cas de négligence grave en matière de sécurité.
Aujourd’hui, en dehors de l’impact réputationnel, il n’y a pas toujours de conséquences suffisamment fortes. Et même l’atteinte à l’image peut être de courte durée. L’affaire fait la une pendant une semaine, puis les gens passent à autre chose.
Christophe Mazzola : Ce genre de faille, nous l'avons rencontré dans un autre cas qui a défrayé la chronique avec le hacking de l'Agence Nationale des Titres Sécurisés (ANTS), le mois dernier.
Nous sommes sur une perception de la sécurité qui, à l'échelle humaine, n'est pas comprise, nous parlons du facteur humain en cybersécurité et c'est encore le cas.
Si je me mets à la place du hacker, je pense qu'il a trouvé une faille sur une des trois fuites, sans doute Maeva. Il a vu que ça fonctionnait et massivement avec cette entreprise, alors il a regardé d'autres acteurs du tourisme, parce que c'est la même logique busines et métier.
Ce genre d'attaque, généralement, c'est des attaques par opportunité.
TourMaG - Quelles pourraient être les conséquences pour des groupes comme Pierre & Vacances, Belambra ou encore Gîtes de France ?
Christophe Mazzola : Ce sera du cas par cas. La CNIL, l’autorité de protection des données, va forcément regarder les dossiers et prononcer sans doute des amendes. On est ici sur le terrain du RGPD (Règlement général sur la protection des données), même si le RGPD comporte aussi un volet sécurité.
Mais, selon moi, tant qu’il n’y aura pas une véritable responsabilité civile ou légale des administrateurs pour s’assurer qu’ils comprennent les risques et sécurisent leurs systèmes, les choses ne bougeront pas assez vite.
Il existe des directives européennes en cours ou déjà adoptées, que la France n’a pas encore pleinement appliquées, qui visent notamment à responsabiliser davantage les dirigeants en cas de négligence grave en matière de sécurité.
Aujourd’hui, en dehors de l’impact réputationnel, il n’y a pas toujours de conséquences suffisamment fortes. Et même l’atteinte à l’image peut être de courte durée. L’affaire fait la une pendant une semaine, puis les gens passent à autre chose.
Il existe "un laxisme d'une manière générale sur la cybersécurité" en France
TourMaG - Est-ce qu'il n'y a pas une forme de négligence sur l'aspect de cybersécurité et aussi, est-ce que nous ne sommes pas allés assez loin concernant le RGPD ?
Christophe Mazzola : Oui, très certainement.
J'ai eu le cas en Belgique, il y a quelques années, où une société d'aéronautique s'est retrouvée totalement à l'arrêt pendant 3 semaines, car elle n'avait pas investi un seul euro pendant des années sur la sécurité.
Elle a été entièrement refinancée complètement grâce à de l'argent public. Il y a vraiment une espèce de relâchement en se disant que "ça arrive aux autres, mais pas à nous."
Après, il y a de plus en plus une prise de conscience de la part des citoyens, à cause de ces fuites de données à répétition. Mais tant que les citoyens et les clients ne forceront pas les entreprises à prendre leurs responsabilités, rien ne changera.
Le risque zéro de piratage n'existe pas, mais il est possible d'éviter ces choses basiques et peut être que le jour, où les Français vont dire : je ne veux travailler ou consommer qu'auprès de prestataires de confiance et qui sécurisent mes données,alors il y aura peut être une prise de conscience.
Concernant le RGPD, c'est une initiative louable.
Il y a tout un volet sur la protection des données, mais comme c'est un règlement européen, qui doit être harmonisé dans 27 pays, cela ne peut pas aller dans les détails sur ce qui doit être fait ou pas.
C'est un peu aux entreprises de faire ça à leur propre sauce. Pierre & Vacances a dû faire des choses, mais sans doute pas assez, à cause peut être de contraintes budgétaires ou autre problématiques internes.
Il y a vraiment un laxisme d'une manière générale sur la cybersécurité qui est vraiment vue comme une contrainte et pas comme quelque chose de nécessaire, pour les entreprises.
Christophe Mazzola : Oui, très certainement.
J'ai eu le cas en Belgique, il y a quelques années, où une société d'aéronautique s'est retrouvée totalement à l'arrêt pendant 3 semaines, car elle n'avait pas investi un seul euro pendant des années sur la sécurité.
Elle a été entièrement refinancée complètement grâce à de l'argent public. Il y a vraiment une espèce de relâchement en se disant que "ça arrive aux autres, mais pas à nous."
Après, il y a de plus en plus une prise de conscience de la part des citoyens, à cause de ces fuites de données à répétition. Mais tant que les citoyens et les clients ne forceront pas les entreprises à prendre leurs responsabilités, rien ne changera.
Le risque zéro de piratage n'existe pas, mais il est possible d'éviter ces choses basiques et peut être que le jour, où les Français vont dire : je ne veux travailler ou consommer qu'auprès de prestataires de confiance et qui sécurisent mes données,alors il y aura peut être une prise de conscience.
Concernant le RGPD, c'est une initiative louable.
Il y a tout un volet sur la protection des données, mais comme c'est un règlement européen, qui doit être harmonisé dans 27 pays, cela ne peut pas aller dans les détails sur ce qui doit être fait ou pas.
C'est un peu aux entreprises de faire ça à leur propre sauce. Pierre & Vacances a dû faire des choses, mais sans doute pas assez, à cause peut être de contraintes budgétaires ou autre problématiques internes.
Il y a vraiment un laxisme d'une manière générale sur la cybersécurité qui est vraiment vue comme une contrainte et pas comme quelque chose de nécessaire, pour les entreprises.
Cyberattaque : "La France fait office de mauvais élève" au niveau européen !
TourMaG - Ne faut-il pas aller plus loin sur le volet législatif et ne pas attendre une responsabilisation des entreprises ?
Christophe Mazzola : Totalement, même s'il y a déjà des initiatives en cours, comme la directive NIS2 et le Cyber Resilience Act.
Sauf que toutes ces initiatives prennent du temps. Après, il y a aussi un problème qui est franco-français, qui est la sécurité papier, comme je l'appelle. Dans la stratégie de gestion des risques, en France nous utilisons la méthodologie EBIOS, qui produit du papier au kilomètre, plein de scénarios fantasques, mais qui ne ne génère aucune action concrète.
C'est quelque chose propre, à la France qu'on ne retrouve pas ailleurs en Europe. On se gargarise à voir cette méthodologie qui produit du papier, mais le papier ne protège rien du tout.
Il y a sans doute un problème d'acculturation au sujet, mais aussi comme je le disais, plus haut, nous gérons les risques de cybersécurité, comme nous gérons l'achat d'un cadre ou d'une plante pour l'entrée du bureau. C'est le bon moment pour en parler.
L'année prochaine, il y a les élections en France, nous avons vu que deux candidats se sont faits pirater, le lendemain de la révélation de leur candidature. C'est un sujet qu'il faudra porter lors de la présidentielle.
Il faut vraiment que l'on commence à se retrousser les manches et à travailler, car ce type de fuite de données, en Europe, nous sommes vraiment un des seuls à connaitre ce genre d'histoire.
Je travaille beaucoup au Royaume-Uni, en Allemagne, aux Pays-Bas, au Luxembourg, en Suisse et en Belgique, là bas, il n'y a pas tout ça. La France fait office de mauvais élève.
Christophe Mazzola : Totalement, même s'il y a déjà des initiatives en cours, comme la directive NIS2 et le Cyber Resilience Act.
Sauf que toutes ces initiatives prennent du temps. Après, il y a aussi un problème qui est franco-français, qui est la sécurité papier, comme je l'appelle. Dans la stratégie de gestion des risques, en France nous utilisons la méthodologie EBIOS, qui produit du papier au kilomètre, plein de scénarios fantasques, mais qui ne ne génère aucune action concrète.
C'est quelque chose propre, à la France qu'on ne retrouve pas ailleurs en Europe. On se gargarise à voir cette méthodologie qui produit du papier, mais le papier ne protège rien du tout.
Il y a sans doute un problème d'acculturation au sujet, mais aussi comme je le disais, plus haut, nous gérons les risques de cybersécurité, comme nous gérons l'achat d'un cadre ou d'une plante pour l'entrée du bureau. C'est le bon moment pour en parler.
L'année prochaine, il y a les élections en France, nous avons vu que deux candidats se sont faits pirater, le lendemain de la révélation de leur candidature. C'est un sujet qu'il faudra porter lors de la présidentielle.
Il faut vraiment que l'on commence à se retrousser les manches et à travailler, car ce type de fuite de données, en Europe, nous sommes vraiment un des seuls à connaitre ce genre d'histoire.
Je travaille beaucoup au Royaume-Uni, en Allemagne, aux Pays-Bas, au Luxembourg, en Suisse et en Belgique, là bas, il n'y a pas tout ça. La France fait office de mauvais élève.
Autres articles
-
Maeva, Belambra, Gîtes de France... le tourisme frappé par des cyberattaques
-
Belambra accélère ses investissements et enrichit son offre pour l’été 2026
-
Rebranding, nouvelle structuration : maeva devient maeva&co
-
Cdiscount Voyages s’allie à maeva pour accélérer sur le tourisme domestique
-
Belambra recrute 1 500 collaborateurs pour l’été 2026
Retrouvez toutes les chroniques de Christophe Mazzola sur TourMaG.
Publié par Romain Pommier 
![Résidences secondaires : la « deuxième maison », gagnante annoncée de l’été [ABO]](https://www.tourmag.com/photo/art/large_16_9/96428639-67242289.jpg?v=1778086815 "Résidences secondaires : la « deuxième maison », gagnante annoncée de l’été [ABO]")
