8 compagnies aériennes touchées par une faille de billetterie électronique, Air France-KLM n’en fait pas partie

le 07 février 2019 à 12:42
 0
Boeing 777-300 Air France

MAJ avec les précisions d'Air France-KLM sur le rapport de Wandera du 6 février 2019 :

"Les bases de données du groupe Air France-KLM sont surveillées en temps réel afin d'identifier et de contrer tout accès frauduleux. Il n'y a eu aucun piratage des bases de données des compagnies du groupe.

Un mail adressé aux clients avant leur voyage contient un lien vers le processus d'enregistrement sur les sites commerciaux des compagnies du groupe. Une utilisation frauduleuse de ce lien ne permettrait en aucun cas l'accès à d'autres données que celles de la réservation en cours. Les informations liées au profil des clients, et notamment les informations sensibles telles que les données bancaires, sont totalement protégées.

Les équipes informatiques travaillent à renforcer le niveau de sécurité du lien transmis aux clients dans le cadre du processus d'enregistrement. Cette mise à jour sera effective très prochainement".


Les compagnies touchées enverraient des liens d'enregistrement non cryptés par email, qui pourraient être piratés.

Le dernier rapport publié par les chercheurs de Wandera, spécialiste londonien de la sécurité des données, paraît être assez inquiétant. Celui-ci, paru le 6 février 2019, révèle une vulnérabilité du système de billetterie électronique de huit compagnies aériennes. La faille pourrait permettre à des pirates de facilement accéder aux données personnelles des passagers, via des liens interceptés et non cryptés. Pire, les hackers pourraient dans certains cas modifier les détails de la réservation d'un voyageur et même imprimer sa carte d'embarquement.

Air France touchée par la faille ?


Wandera a identifié huit compagnies aériennes qui enverraient des liens d'enregistrement non cryptés via leur système de billetterie électronique. On retrouve ainsi la texane Southwest Airlines, la plus grande compagnie low-cost au monde, mais aussi Vueling, Jetstar, Thomas Cook, Transavia, Air Europa, KLM et surtout Air France, première compagnie aérienne française.

Les chercheurs se sont aperçus que les compagnies envoyaient des liens non cryptés aux passagers qui les redirigeaient vers un site où l'on se connecte automatiquement à l'enregistrement de son vol. Sur ce site, il est possible de modifier des éléments de sa réservation et d'imprimer sa carte d'embarquement. Sauf qu'un pirate bien avisé, situé sur le même réseau que le voyageur, peut sans forcer intercepter la demande de lien et la réutiliser à son compte, pour accéder directement à l'enregistrement de la personne touchée.

données exposées compagnies.jpg
Capture d'écran de la session d'enregistrement d'un utilisateur pour un vol avec la compagnie Southwest Airlines (Crédit : Wandera)

Un accès à de nombreuses informations personnelles


Un hacker potentiel a donc accès à toutes les informations personnelles qui ont été associées à la réservation de la compagnie, comme l'adresse mail, le nom, le prénom, le numéro de passeport, le pays émetteur des documents, la date d'expiration du passeport, les références de la réservation, le ou les numéro(s) de vol, le temps de vol, le siège assigné, la sélection de bagages, la carte d'embarquement complète, et même des détails sur les agences de voyage.

données exposées compagnies 2.jpg
Capture d'écran de l'enregistrement d'un utilisateur sur un vol Air France (Crédit : Wandera)

Wandera est en mesure d'affirmer que toutes ces données ont été mises en péril par les huit compagnies aériennes. Les failles ont été identifiées au début du mois de décembre. Bien entendu, les chercheurs londoniens en ont immédiatement informé les compagnies et encouragé les voyageurs à disposer d'un service de sécurité mobile actif qui surveille et bloque les fuites de données.

L'alliance Air France-KLM indique par ailleurs à Clubic ne pas avoir été contactée par Wandera avant la publication du rapport.

Modifié le 07/02/2019 à 16h55
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Dernières actualités

"It’s showtime!", clamait Apple sur les cartons d’invitation à son événement californien de ce soir. Et comme le prophétisaient les observateurs, l’entreprise de Tim Cook a effectivement levé le voile sur son propre service de SVoD, se posant ainsi en concurrent direct de Netflix.
20:14 | SVOD
Après un transitoire et oubliable Galaxy S9, Samsung souffle les 10 premières bougies de sa gamme flagship avec pas moins de trois modèles au magnétisme certain.
Recalbox, le célèbre OS français et 100 % gratuit qui permet de retrouver la plupart des jeux de notre enfance sur environ 60 systèmes, va très prochainement avoir le droit à une nouvelle version stable.
Le précieux sésame est destiné à 5,8 millions de foyers cette année. Les envois vont s’étaler jusqu’à la fin du mois d’avril, selon les départements. Clubic vous explique tout.
17:40 | Énergie
La commission consultative fait part de ses interrogations quant à la proposition de loi visant à lutter contre la haine sur Internet dans un avis public délivré jeudi.
17:33 | Loi internet
Quantic Dream ne perd pas de temps. Quelques jours après avoir annoncé l’arrivée de Detroit: Become Human sur PC, le studio de David Cage dévoile les configurations minimales et recommandées pour animer son dernier titre.
Roccat étend sa large gamme de souris gaming en annonçant l’arrivée de la Kova AIMO, un mulot qui se veut très versatile (et relativement abordable aussi).
16:25 | Souris
Le chinois Zotac vient de lancer son Mek Mini, un Mini-PC Gamer pensé pour allier performances de haute volée et compacité extrême. Et pour cause, les mensurations de l’appareil ne dépassent pas les 260,8 x 136 x 258,8 mm. Au travers de ce nouveau modèle, Zotac réaffirme son intérêt pour les machines petits formats.
15:51 | Mini-PC
Amateurs de robots géants et de questions existentielles, réjouissez-vous : la mythique série animée Neon Genesis Evangelion arrive dans quelques mois sur Netflix !
15:51 | Netflix
Celui qui fut une véritable star du web il y a quelques années est aujourd'hui évincé de toute part.
D’après le blog japonais Macotakara, l’iPhone 11 (attendu à la rentrée) reprendrait à son compte « PowerShare », l’une des fonctionnalités du Galaxy S10. Le terminal serait en effet capable de recharger par induction d’autres appareils, notamment une Apple Watch ou des AirPods.
14:43 | iPhone
C’est à 18h ce soir qu’Apple va présenter ses plateformes de streaming vidéo et de presse écrite. Le constructeur va, comme à son habitude, retransmettre l’évènement en direct que nous résumerons et analyserons pour vous dans la foulée.
14:09 | Apple
Dans quelques heures, Apple tiendra une keynote en direct de Cupertino dans le but de dévoiler son service de presse ainsi que sa nouvelle plateforme dédiée au streaming vidéo. Mais avant cette grande présentation, plusieurs informations se sont retrouvées sur la toile...
13:35 | Apple
Vous n'avez jamais entendu parler du forfait mobile Free Veepee à 8,99€ par mois à vie ? Il est temps pour l'équipe Clubic Bons Plans d'intervenir. Vous avez de la chance, Free a décidé pour notre plus grand plaisir de prolonger cette offre jusqu'au 26 mars. Ne perdons pas de temps, nous allons tout vous dire.
Dans le cadre de l’événement Pwn2Own 2019 >>, deux chercheurs ont été récompensés d'une Tesla Model 3, pour être parvenus à hacker... la Tesla Model 3 !
scroll top