aériennes

Une faille dans 8 systèmes de lignes aériennes expose les données des passagers

Des chercheurs ont découvert que plusieurs compagnies aériennes ne chiffraient pas leurs systèmes de réservation en ligne de billets électroniques. Ce faux pas permettrait à des gens mal intentionnés qui sont sur le même réseau que la victime de voir – et dans certains cas de changer – les détails de réservation de vol ou les cartes d’embarquement.

Les chercheurs en sécurité de Wandera ont déclaré que huit compagnies aériennes envoyaient des liens d’enregistrement non-crypté à travers leurs systèmes de réservation en ligne: Southwest, Air France, KLM, Vueling, Jetstar, Thomas Cook, Transavia et Air Europa.

“Nos chercheurs ont découvert que ces compagnies aériennes envoyaient des liens d’enregistrement non-cryptés aux passagers,” a déclaré Liarna La Porta. “Après avoir cliqué sur ces liens non-cryptés, un passager est redirigé vers un site où il est automatiquement connecté à l’enregistrement pour son vol, et dans certains cas il peut même faire des changements sur sa réservation et imprimer sa carte d’embarquement.”

insecure airline check in

Cette vulnérabilité permet donc à un hacker qui est sur le même réseau d’intercepter une requête de lien d’enregistrement, de l’utiliser pour lui-même et de gagner l’accès à l’enregistrement en ligne du passager.

Le hacker pourra donc voir toutes les informations personnelles associées à l’enregistrement – nom complet, numéro de confirmation et numéro de voyageur fréquent. En utilisant ces informations, le hacker peut visiter le système de billetterie électronique juste avant que l’avion ne décolle et accéder aux informations personnelles identifiables (PII).

Ces PII incluent: email, nom, numéro de document (Id passeport) et date d’expiration, numéros de vols et heures, cartes d’embarquement et mêmes les sièges assignés.

Il est même possible d’augmenter ou de diminuer le nombre de bagages, changer les sièges assignés et changer le numéro de téléphone mobile ou l’email.

Les chercheurs de Wandera ont notifié toutes les compagnies aériennes impactées – ainsi que les “agences gouvernementales concernées” – par cette vulnérabilité après l’avoir identifié au début du mois de Décembre 2018.

Est-ce que ces failles de lignes aériennes ont été patché?

Wandera n’a pas pu vérifier si ces failles avaient été patché.

Cependant, le porte parole de Thomas Cook Airlines a déclaré, “Nous prenons au sérieux la sécurité des données de nos clients et avons fait de ce problème une priorité. Nous nous sommes penché sur la question et avons pris des mesures immédiates pour améliorer la sécurité des données de nos clients.”

Un porte parole de Transavia a déclaré qu’il n’y a eu aucun piratage de leurs bases de données.

“Les bases de données de Transavia sont surveillées en temps réel pour identifier et prévenir les accès frauduleux,” selon le porte-parole. “Un e-mail envoyé aux clients Transavia avant leur vol contient un lien non-crypté vers le procédé d’enregistrement sur notre site. Cependant, l’utilisation frauduleuse de ce lien ne donne accès qu’aux données de la réservation existante. Les informations du profil du client, tels que les détails de banques, sont totalement protégés.”

Nos équipes travaillent pour améliorer la sécurité du lien envoyé aux clients, a ajouté le porte-parole de Transavia.

Les vulnérabilités découvertes dans les compagnies aériennes ont augmenté ces dernières années.

En Janvier, le constructeur aéronautiques Français, Airbus, avait été victime d’une cyberattaque.

En Septembre, British Airways avait déclaré que 380 000 paiement par carte avaient été compromis après une brèche de sécurité sur le site internet et l’application mobile de la compagnie en Août. Au mois d’Août, Air Canada admettait que 20 000 utilisateurs de leur application mobile étaient victime du vol de leurs informations de passeport. Finalement en Avril, Delta déclarait qu’un petit nombre de clients étaient impactés par une brèche lié à un malware planté sur un service fourni par un parti-tiers.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de