Un hacker développe une application pour accéder à tous les salons des compagnies aériennes

Audrey Oeillet
Publié le 08 août 2016 à 12h08
Un hacker polonais a découvert une faille dans le système permettant d'entrer dans les salons des compagnies aériennes, installés dans les aéroports du monde entier. Il a développé une application lui permettant d'y entrer sans disposer des billets d'avion associés.

Przemek Jaroszewski est un hacker éthique polonais qui a trouvé une faille dans le système mis en place par les compagnies aériennes lorsqu'il s'agit de valider, ou non, l'entrée d'un passager dans un salon d'aéroport. Normalement, l'accès aux lounges se fait selon la catégorie du billet - si le passager vole en classe business, par exemple - ou encore selon le niveau d'accès à un programme fidélité, ou encore s'il a acheté son droit d'entrée. Mais en pratique, Przemek Jaroszewski a découvert que le droit d'entrée à un salon est codé dans le QR Code que l'on trouve sur les cartes d'embarquement, mais qu'il n'est quasiment jamais vérifié par le biais d'une base de données centrale.

2166000008516320-photo-przemek-jaroszewski.jpg

Résultat : à partir du moment où est parvenu à déterminer l'information du QR Code permettant l'accès à un salon, Przemek Jaroszewski a pu générer des accès à la pelle grâce à une application développée pour l'occasion. Ce grand voyageur qui prend l'avion entre 50 et 80 fois par an n'avait pas nécessairement besoin de ça pour accéder aux lounges du monde entier, mais il a poussé l'expérience très loin en utilisant son système presque à chaque fois. Il s'est ainsi invité dans des dizaines de salons de compagnies aériennes, principalement en Europe, avec de fausses cartes d'embarquement. Néanmoins, l'accès à ces espaces des aéroports nécessitaient tout de même de disposer d'une carte d'embarquement bien réelle, mais le hacker n'avait ensuite plus qu'à choisir le salon le plus luxueux pour attendre que les portes de son avion ne s'ouvrent. « Il faut littéralement 10 secondes pour créer une carte d'embarquement, et elle n'a même pas besoin de sembler légitime car vous n'êtes à aucun moment en contact avec des humains » explique le hacker. Dans une vidéo publiée par ses soins, on le voit ainsi se créer une identité bidon - Bartholomew Simpson - et entrer, ni vu ni connu, dans le salon de Turkish Airlines situé dans l'aéroport d'Istanbul.



Ce n'est, par ailleurs, pas la seule utilité de cette application, qui a fait l'objet d'une présentation à la conférence Defcon de Las Vegas le week-end dernier : Przemek Jaroszewski a également pu s'en servir pour acheter des produits en duty free en présentant de fausses cartes d'embarquement de voyages internationaux, pour bénéficier de meilleurs prix.

Le hacker souligne cependant qu'il n'a testé sa méthode que dans des situations où il répondait lui-même aux conditions d'éligibilité : il n'est rentré que dans des salons dont il possédait légitimement le droit d'accès et il en est de même pour ses achats en duty free. Dans tous les cas, l'expérience n'était que le dédoublement expérimental d'une situation légale, Przemek Jaroszewski ne voulant pas légitimiser une pratique frauduleuse dans sa démarche.

De même, il ne compte pas mettre à disposition son application au grand public, mais précise tout de même qu'elle est facile à recréer et se compose d'environ 500 lignes de code javascript. De quoi donner des idées à certains développeurs, en attendant que, peut-être, les compagnies aériennes se décident à combler la faille en question.
Audrey Oeillet
Par Audrey Oeillet

Journaliste mais geekette avant tout, je m'intéresse aussi bien à la dernière tablette innovante qu'aux réseaux sociaux, aux offres mobiles, aux périphériques gamers ou encore aux livres électroniques, sans oublier les gadgets et autres actualités insolites liées à l'univers du hi-tech. Et comme il n'y a pas que les z'Internets dans la vie, j'aime aussi les jeux vidéo, les comics, la littérature SF, les séries télé et les chats. Et les poneys, évidemment.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles