Depuis 1984, le collectif berlinois de hackers éthiques « Chaos computer club (CCC) » organise chaque année le « Chaos Communication congress ». Un symposium qui réunit les cyber-activistes du monde entier venus échanger sur l’actualité de la cybersécurité. Politique de protection des données exploitées par les GAFA, Intelligence artificielle & deep Learning (apprentissage profond des machines), la 35ème édition de fin 2018 est une piqûre de rappel des enjeux éthiques dans un tourisme fortement impacté par le digital. Voici des illustrations de ces menaces 2.0, (l’actuel) web participatif et social.
1 – Se méfier des fausses recommandations !
Le 8 février 1996 fût un jour historique dans l’histoire encore toute récente d’Internet. John Perry Barlow, fondateur de l’Electronic Frontier Foundation (EFF), a marqué le monde de la toile de son empreinte lors du forum économique de Davos par sa Déclaration d’indépendance du cyberspace . « Nos identités n’ont pas de corps, donc, contrairement à vous, nous ne pouvons pas obtenir l’ordre par la contrainte physique. Nous croyons que l’éthique, l’intérêt personnel éclairé et le bien commun feront émerger notre gouvernance. Nos identités peuvent être distribuées dans plusieurs de vos juridictions. La seule loi que toutes nos cultures constituantes reconnaissent généralement est la Règle d’or. Nous espérons que nous serons en mesure de construire nos solutions particulières sur cette base. Mais nous ne pouvons accepter les solutions que vous essayez d’imposer » (Electronic Frontier Fondation, Traduit avec Deepl/translator).
L’anonymat nourrissait l’espoir d’un Internet garant d’une liberté d’expression responsable, jusqu’à ce que la forte démocratisation de la toile lève le voile sur des pratiques trompeuses visant à servir des intérêts personnels sous le masque des pseudos et des faux comptes.
Le terme «astroturfing » (propagande et manipulations digitales) est alors apparu pour définir, selon Fabrice Epelboin, spécialiste des réseaux sociaux, « l’ensemble des techniques – manuelles ou algorithmiques – permettant de simuler l’activité d’une foule dans un réseau social. (…). Mais l’astroturfing implique le plus souvent des identités créées de toutes pièces, destinées à mettre en scène des phénomènes de foule dans un environnement tel que Facebook, de façon à influencer la perception des utilisateurs de la plateforme ou à donner plus de visibilité à un sujet, en fabriquant de façon artificielle sa popularité » (Inrocks, interview recueillie par Agathe Auproux 06/02/17).
Le tourisme 2.0 est touché de plein fouet par ces nouvelles pratiques depuis que les avis des consommateurs sont devenus un facteur déterminant dans le choix des destinations, des restaurants, des hôtels et des compagnies de transport. En 2017, la Direction générale de la concurrence, de la consommation et de la répression des fraudes a évalué à 35 %, les avis clients en ligne qui seraient non conformes aux règles d’information du consommateur.
Pour certaines entreprises touristiques qui seraient tentées d’écrire de faux avis sur leurs concurrents sous couvert d’anonymat, certaines agences de voyage multiplient les dispositifs pour garantir la transparence des avis exprimés sur leurs plateformes. Sur son site internet, Tripadvisor rassure les internautes quant à l’importance accordée à la vérification des commentaires selon des technologies dites « intelligentes » : « Nous utilisons une technologie intelligente associée à une équipe d’experts modérateurs. Cette technologie est mobilisée à chaque nouvel avis envoyé sur TripAdvisor. Avant de le publier sur le site, il fait l’objet de centaines de vérifications automatiques qui évaluent tous les aspects de l’avis. Nous appelons cela notre système de suivi. Le système autorise la publication des avis, les rejette ou bien les envoie à notre équipe de modération pour analyse en cas de soupçon d’avis fictif ».
Filtrer ses publications sur les réseaux sociaux !
Rien de plus normal que de poster ses photos de vacances sur Instagram, certains en ont fait leur métier ! Mais sommes-nous réellement conscients de la frontière qui sépare ce que nous pouvons partager et de ce qui doit rester confidentiel ?
Certaines pratiques montrent la naïveté de certains internautes quant à l’usage des réseaux sociaux. La publication des cartes d’embarquement sur Instagram en est par exemple la preuve ! Le sujet a fait précédemment l’objet d’une longue présentation lors de la de la 33ème édition du Chaos communication Congress (2016), lorsque deux chercheurs en cyber sécurité, Karsten Nohl et Nikodijevic ont alerté sur la faible sécurisation des dossiers de réservation personnels des compagnies de transport. Car il suffit du nom du voyageur et de son numéro de réservation, deux informations figurant sur les cartes d’embarquement, pour accéder au dossier client et le modifier.
Postées sur les réseaux sociaux, ces données sont exposées aux malfaiteurs du web qui peuvent modifier les informations de vol ou demander son annulation et encaisser le remboursement du billet. Trois ans après les mises en garde des chercheurs sur la défaillance des systèmes de billetteries aériennes et notamment le « Global Distribution System (GDS) », de nombreux voyageurs continuent pourtant à poster leurs cartes d’embarquement sans se soucier des risques encourus.
Le « bug Bounty » (ou « prime au bug »), un rempart face aux menaces 2.0
Si la vulnérabilité d’internet permet aux malfaiteurs de pénétrer les systèmes informatiques des entreprises et leur porter préjudice ainsi qu’à leurs clients, il existe en revanche une catégorie d’experts en informatique qui ont décidé de mettre leurs compétences au service des entreprises. Le bug Bounty fait partie de ces nouvelles pratiques qui consistent dénicher de possibles failles ou bugs dans l’écosystème digital d’une entreprise pour les alerter, en contrepartie de récompenses qui peuvent atteindre des milliers d’euros en fonction de la dangerosité de la menace.
Le groupe Hyatt a lancé par exemple un programme de primes à destination des chercheurs via le site Hackerone et qui vise à détecter la vulnérabilité et les menaces qui pèsent sur son système informatique. Les récompenses varient entre 300 $ et 400 $ en fonction de la dangerosité des failles découvertes. Ce qui porte à croire qu’avec la démocratisation de l’accès à l’information via internet, les entreprises pourront peut-être remplacer les sociétés de sécurité informatique par les hackers indépendants qui se professionnaliseront dans la détection des menaces qui planent sur le monde digital.
Nul doute que diverses opportunités sont offertes par le web 2.0 en matière de tourisme, bons plans, comparateurs de prix, partage des avis, et bien d’autres avantages qui enrichissent nos expériences de voyages. L’avenir semble réserver encore bien des surprises grâce notamment aux applications dotées d’intelligence artificielle au service du confort du touriste et de ses envies de découvertes (voir notre article sur le CES 2019), mais il faut toutefois garder à l’esprit qu’un bon usage d’Internet nécessite d’être conscient de sa vulnérabilité.
Aller plus loin : le Bug Bounty en 5 questions
Un dossier préparé et rédigé par Mohammed Achraf Tazi, stagiaire de Doubs Tourisme, en Master 2 Conseil en communication (Besançon).