«Pour éviter des problèmes, gardez vos clefs magnétiques, emportez-les et détruisez-les. » Tel est le conseil prodigué aux clients d'hôtel sur une récente publication Facebook à succès.

Selon ce texte d'avertissement, une telle précaution s'impose pour éviter que le personnel de l'hôtel n'ait accès à vos données personnelles. Et pas n'importe lesquelles, outre les informations indispensables au séjour (nom, numéro de chambre, dates d'entrée et de sortie de la chambre), ces cartes d'accès contiendraient « le numéro de la carte de crédit du client ainsi que sa validité [...], le numéro de carte d'identité, de passeport ou autre ».

« A votre départ, quand vous [...] rendez [la carte] à la réception de l'hôtel, l'information reste disponible pour tout employé ayant accès au "scanner" de l'hôtel … Plus encore, l'employé peut l'emporter chez lui et, au moyen de l'utilisation d'un scanner magnétique, peut avoir accès à l'information contenue dans les clefs et l'utiliser, pour acheter par Internet » poursuit le texte. Il s'agit en réalité d'une intox maintes fois démantelée – y compris par le site de fact-checking Snopes – mais qui perdure sur le web depuis plus de dix ans.

FAKE OFF

« Je n'avais jamais entendu cette rumeur mais elle est complètement infondée » affirme Amélie Oswald, directrice commerciale de RFID Labs, une société spécialisée dans les services magnétiques, qui compte notamment parmi ses clients des chaînes d'hôtels comme Ibis ou Novotel.

« Qu'il s'agisse de cartes RFID ou à puce, elles sont passives, elles n'émettent aucune onde, c'est la même chose que pour une carte de fidélité dans un magasin. Ces cartes d'accès ne peuvent pas aller chercher les infos sur le téléphone ou ailleurs » explique-t-elle.

Laurent Duc, président de l'Union des métiers et des industries de l'hôtellerie (UMIH), précise : « Il existe au moins 10 types de clés magnétiques différentes. Certaines ouvrent et ferment juste une chambre individuelle, ce sont les plus basiques. Mais le modèle le plus courant repose sur l'encodage, il permet l'entrée et sortie de la chambre de son choix une fois que celle-ci a été attribuée par l'hôtel ».

Le directeur d'hôtel ajoute : « La carte contient le nom de la personne et enregistre les entrées et sorties de la chambre. Mais c'est tout, il n'y a pas de relation avec le logiciel de la réception : dans 99% des cas, il n'y a pas de liaison entre la serrure de la porte, qui est autonome, et l'ordinateur. On n'est pas dans un James Bond! »

Une intox de 2003... née en Californie

A l'origine de cette intox, on trouve un appel à la prudence signé d'une inspectrice de la police de Pasadena, en Californie, et daté... d'octobre 2003. Après avoir appris, par des policiers enquêtant sur une affaire d'escroquerie, qu'une carte d'accès d'un hôtel réputé contenait un nom, une adresse, une durée de séjour et un numéro de carte bleue, elle en informe ses propres collègues, pour les inciter à la prudence.

Très vite, l'information circule et dépasse largement le seul cercle policier pour devenir un mail partagé par nombre d'internautes désireux d'en informer leur entourage. Au point d'amener la police de Pasadena à publier un démenti deux ans plus tard, qui explique notamment : « A l'heure actuelle, nos enquêteurs ont contacté plusieurs grands hôtels et de différentes entreprises d'informatique recourant à [ces cartes] et ils nous ont assuré que les informations personnelles, et particulièrement les infos liées à la carte bleue, ne sont pas incluses sur leurs cartes d'accès. »

C'est donc cet incident isolé qui est cité en exemple dans les mails d'avertissement de l'époque... et aujourd'hui sur les réseaux sociaux où circule encore la rumeur, adaptée en français.

Un stockage possible mais à l'intérêt discutable

L'intégration, sur une carte d'hôtel, de données précises, telles que les numéros d'une carte bancaire, reste toutefois possible, comme l'explique Amélie Oswald : « La carte d'accès à la chambre est comme une clé USB, elle dispose d'un petit secteur mémoire sur lequel on peut enregistrer quelques infos, comme un numéro. »

Mais le gain potentiel d'un tel stockage de données bancaires reste limité : « Si l'hôtelier est vraiment frauduleux, il peut inscrire votre numéro de carte bleue sur la carte de votre chambre mais quel est l'intérêt ? Il peut déjà le faire sur un carnet, avec les informations dont il dispose à la réception ! »

Laurent Duc partage son point de vue : « Nous avons le droit de stocker le numéro de carte de crédit dans notre logiciel, dans un délai raisonnable, selon un protocole établi avec la CNIL. Techniquement, il est possible de stocker le numéro de carte bleue sur la carte magnétique mais pourquoi faire ? On ne met jamais ces infos-là sur la carte ! »

Le président de l'UMIH n'apprécie pas une autre affirmation de la rumeur, selon laquelle « les hôtels ne peuvent pas vous faire payer [le fait de ne pas rendre la carte] » au moment de quitter les lieux : « Si un établissement a envie de faire payer la perte de la carte, il en a tout à fait le droit tant que ça relève du règlement intérieur de l'hôtel. Il peut sans problème le facturer 10 euros. »

Les hôtels ne sont pas près d'abandonner les cartes magnétiques, jugées bien plus pratiques et sécurisées que les clés traditionnelles par les professionnels, comme le souligne Laurent Duc. « Un hôtel de 100 chambres doit bien en utiliser 1.000 par an, avec toutes les pertes de clients! Les cartes sont bien plus simples à remplacer qu'une clé ». Sans compter les économies. Comme le précise Amélie Oswald : « Si le client ne rend pas sa carte, cela représente moins d'un euro perdu, soit la valeur de la carte, donc ce n'est pas un drame! »