Les compagnies touchées enverraient des liens d'enregistrement non cryptés par email, qui pourraient être piratés.
Le dernier rapport publié par les chercheurs de Wandera, spécialiste londonien de la sécurité des données, paraît être assez inquiétant. Celui-ci,paru le 6 février 2019, révèle une vulnérabilité du système de billetterie électronique de huit compagnies aériennes. La faille pourrait permettre à des pirates de facilement accéder aux données personnelles des passagers, via des liens interceptés et non cryptés. Pire, les hackers pourraient dans certains cas modifier les détails de la réservation d'un voyageur et même imprimer sa carte d'embarquement.
Air France touchée par la faille
Wandera a identifié huit compagnies aériennes qui enverraient des liens d'enregistrement non cryptés via leur système de billetterie électronique. On retrouve ainsi la texane Southwest Airlines, la plus grande compagnie low-cost au monde, mais aussi Vueling, Jetstar, Thomas Cook, Transavia, Air Europa, KLM et surtout Air France, première compagnie aérienne française.
Les chercheurs se sont aperçus que les compagnies envoyaient des liens non cryptés aux passagers qui les redirigeaient vers un site où l'on se connecte automatiquement à l'enregistrement de son vol. Sur ce site, il est possible de modifier des éléments de sa réservation et d'imprimer sa carte d'embarquement. Sauf qu'un pirate bien avisé, situé sur le même réseau que le voyageur, peut sans forcer intercepter la demande de lien et la réutiliser à son compte, pour accéder directement à l'enregistrement de la personne touchée.
Capture d'écran de la session d'enregistrement d'un utilisateur pour un vol avec la compagnie Southwest Airlines (Crédit : Wandera)
Un accès à de nombreuses informations personnelles
Un hacker potentiel a donc accès à toutes les informations personnelles qui ont été associées à la réservation de la compagnie, comme l'adresse mail, le nom, le prénom, le numéro de passeport, le pays émetteur des documents, la date d'expiration du passeport, les références de la réservation, le ou les numéro(s) de vol, le temps de vol, le siège assigné, la sélection de bagages, la carte d'embarquement complète, et même des détails sur les agences de voyage.
Capture d'écran de l'enregistrement d'un utilisateur sur un vol Air France (Crédit : Wandera)
Wandera est en mesure d'affirmer que toutes ces données ont été mises en péril par les huit compagnies aériennes. Les failles ont été identifiées au début du mois de décembre. Bien entendu, les chercheurs londoniens en ont immédiatement informé les compagnies et encouragé les voyageurs à disposer d'un service de sécurité mobile actif qui surveille et bloque les fuites de données.
Clubic.com a tenté de contacter la compagnie Air France, hélas, celle-ci reste injoignable. Nous attendons le retour d'autres compagnies.
Commentaires
Enregistrer un commentaire