Plus de 90 000 documents d’identité volés dans des hôtels italiens

La cybercriminalité est devenue un fléau aux méthodes de plus en plus complexes et expertes, affectant tous les secteurs d’activité, y compris celui du voyage. Des attaques ciblées en Italie aux décrets de collecte de données en Espagne, en passant par de multiples incidents chez des géants du transport aérien, il est clair que les voyageurs doivent prendre la protection et l’utilisation de leurs informations personnelles très au sérieux.

Une bande de hackers cible les hôtels Italiens

L’Agence pour l’Italie digitale (AgID) et la police postale ont récemment démantelé la bande de hackers “Mydocs”, qui s’est spécialisée dans la revente de données personnelles sur le dark web. Ces cybercriminels ont ciblé au moins quatre hôtels italiens, parvenant à dérober environ 90 000 identités d’hôtes qui avaient fourni leurs documents lors de l’enregistrement.

Parmi les structures visées, toutes des établissements quatre étoiles, figurent l’hôtel Ca’ dei Conti à Venise (38 000 images dérobées), le Casa Dorita à Milano Marittima (2 300 documents), le Regina Isabella à Ischia (30 000), et l’Hôtel Continental de Trieste (17 000).

Les données volées incluent des photographies contenues dans des cartes d’identité et des passeports, mais aussi d’autres documents comme les permis de conduire, revendus entre 800 et 10 000 euros. Ces informations sont fréquemment utilisées pour commettre des vols d’identité, permettant aux fraudeurs d’ouvrir des comptes bancaires, de demander des prêts et d’encaisser les sommes associées. Un pic d’incidents a été observé entre le 9 et le 11 août, avec les documents mis en vente sur la partie sombre du web.

Une menace globale dans le secteur du voyage

Ces attaques en Italie ne sont pas des cas isolés ; la cybercriminalité se développe partout. Le secteur du voyage est particulièrement vulnérable aux cyberattaques et a été le théâtre de nombreux incidents majeurs :

• La compagnie aérienne australienne Qantas a annoncé enquêter sur une cyberattaque « importante » après l’intrusion de hackers dans un système abritant des données sensibles.
• En juin, Center Parcs a alerté que les données d’environ 20 000 clients avaient été compromises.
• Le consolidateur Aerticket a également été confronté à un incident de grande ampleur.
• British Airways a subi une fuite de données massive en 2018, affectant plus de 400 000 clients et entraînant une amende de 20 millions de livres sterling en 2020. L’incident n’avait été détecté que plus de deux mois après.
• En mai 2020, EasyJet a été victime d’une cyberattaque qui a touché 9 millions de clients.
• WestJet a confirmé que des données personnelles et liées aux voyages ont été obtenues illégalement lors d’un incident de cybersécurité en juin, bien qu’aucun numéro de carte de crédit, de débit ou mot de passe n’ait été compromis. La compagnie a collaboré avec les autorités et renforcé ses mesures de sécurité.
• Le groupe Voyageurs du Monde a refusé, par principe, de payer une rançon demandée en 2023.

L’intelligence artificielle (IA) est également pointée du doigt, car elle augmente le champ des possibles pour les pirates. Le risque de cyberattaques par hameçonnage a explosé avec l’IA, les mails frauduleux étant mieux rédigés et traduits rapidement. Booking.com, qui utilise l’IA pour identifier les attaques, a pu bloquer 60 millions d’e-mails avec des liens frauduleux en un seul mois. Par ailleurs, des sites miroirs frauduleux de musées et parcs d’attractions sont créés par des cybercriminels pour vendre des billets imaginaires.

L’Espagne et le “Big Brother du Tourisme” : Une collecte de données controversée

En parallèle des risques de vol, l’Espagne a introduit un nouveau défi pour la protection des données des voyageurs. Depuis décembre dernier, un décret royal (933/2021) oblige les hébergements touristiques, les agences de voyages et les loueurs de voitures à collecter et transmettre aux autorités des quantités massives de données sur leurs clients étrangers.

Ce que les voyageurs doivent savoir :

• Les hôtels, comme l’Hotel Moderno à Madrid, demandent désormais aux clients étrangers de remplir manuellement un grand nombre d’informations en plus des données habituelles.
• Il ne s’agit plus seulement du nom ou du numéro d’identité, mais aussi du numéro de téléphone, lieu de naissance, liens de parenté avec d’autres voyageurs, détails sur le mode de paiement, et même les habitudes de voyage des trois dernières années.
• Un minimum de 13 données est exigé, pouvant aller jusqu’à 42 pour les hébergements et plus de 60 pour les locations de voitures.
• Ces données doivent être envoyées chaque soir au ministère espagnol de l’Intérieur via une plateforme numérique dédiée.
• Les professionnels qui ne se conforment pas risquent des amendes pouvant atteindre 30 000 euros pour les établissements et 25 000 euros pour les voyagistes et hôteliers.
• Les voyageurs qui refusent de communiquer ces informations peuvent se voir refuser l’entrée dans un hôtel ou la réservation d’une voiture.

Les professionnels du tourisme espagnols, comme Ramón Estalella de la Confédération espagnole des hôtels et logements touristiques (CEHAT), dénoncent une mesure « complètement illégale et disproportionnée » et qualifient le décret de « Big Brother ».

L’ECTAA (Association européenne des agents de voyage et des voyagistes) met en garde contre l’étendue des données demandées, la jugeant excessive et potentiellement contraire aux règles européennes de protection des données (RGPD), et estime que cette collecte massive expose les visiteurs à des risques potentiels d’utilisation abusive de leurs informations en cas de cyberattaques. La CEHAT a d’ailleurs lancé une action en justice contre l’État espagnol.

Le gouvernement espagnol, par l’intermédiaire du secrétaire d’État à la sécurité, Rafael Perez Ruiz, défend ce décret en affirmant qu’il est nécessaire pour la lutte contre le terrorisme et la criminalité organisée, citant l’arrestation de 18 000 personnes lors d’un essai volontaire.

Face à ces menaces omniprésentes, qu’il s’agisse de vol de données ou de collecte excessive, les voyageurs doivent avoir une vigilance accrue. L’Agence pour l’Italie digitale (AgID) insiste sur le rôle fondamental des citoyens dans la protection de leur identité.

« Un formulaire douanier digitalisé obligatoire pour l’Équateur États-Unis : Le prix de l’ESTA double dès le 30 septembre 2025 »