Un hacker développe une application pour accéder à tous les salons des compagnies aériennes

08 août 2016 à 12h08
0
Un hacker polonais a découvert une faille dans le système permettant d'entrer dans les salons des compagnies aériennes, installés dans les aéroports du monde entier. Il a développé une application lui permettant d'y entrer sans disposer des billets d'avion associés.

Przemek Jaroszewski est un hacker éthique polonais qui a trouvé une faille dans le système mis en place par les compagnies aériennes lorsqu'il s'agit de valider, ou non, l'entrée d'un passager dans un salon d'aéroport. Normalement, l'accès aux lounges se fait selon la catégorie du billet - si le passager vole en classe business, par exemple - ou encore selon le niveau d'accès à un programme fidélité, ou encore s'il a acheté son droit d'entrée. Mais en pratique, Przemek Jaroszewski a découvert que le droit d'entrée à un salon est codé dans le QR Code que l'on trouve sur les cartes d'embarquement, mais qu'il n'est quasiment jamais vérifié par le biais d'une base de données centrale.

2166000008516320-photo-przemek-jaroszewski.jpg

Résultat : à partir du moment où est parvenu à déterminer l'information du QR Code permettant l'accès à un salon, Przemek Jaroszewski a pu générer des accès à la pelle grâce à une application développée pour l'occasion. Ce grand voyageur qui prend l'avion entre 50 et 80 fois par an n'avait pas nécessairement besoin de ça pour accéder aux lounges du monde entier, mais il a poussé l'expérience très loin en utilisant son système presque à chaque fois. Il s'est ainsi invité dans des dizaines de salons de compagnies aériennes, principalement en Europe, avec de fausses cartes d'embarquement. Néanmoins, l'accès à ces espaces des aéroports nécessitaient tout de même de disposer d'une carte d'embarquement bien réelle, mais le hacker n'avait ensuite plus qu'à choisir le salon le plus luxueux pour attendre que les portes de son avion ne s'ouvrent. « Il faut littéralement 10 secondes pour créer une carte d'embarquement, et elle n'a même pas besoin de sembler légitime car vous n'êtes à aucun moment en contact avec des humains » explique le hacker. Dans une vidéo publiée par ses soins, on le voit ainsi se créer une identité bidon - Bartholomew Simpson - et entrer, ni vu ni connu, dans le salon de Turkish Airlines situé dans l'aéroport d'Istanbul.



Ce n'est, par ailleurs, pas la seule utilité de cette application, qui a fait l'objet d'une présentation à la conférence Defcon de Las Vegas le week-end dernier : Przemek Jaroszewski a également pu s'en servir pour acheter des produits en duty free en présentant de fausses cartes d'embarquement de voyages internationaux, pour bénéficier de meilleurs prix.

Le hacker souligne cependant qu'il n'a testé sa méthode que dans des situations où il répondait lui-même aux conditions d'éligibilité : il n'est rentré que dans des salons dont il possédait légitimement le droit d'accès et il en est de même pour ses achats en duty free. Dans tous les cas, l'expérience n'était que le dédoublement expérimental d'une situation légale, Przemek Jaroszewski ne voulant pas légitimiser une pratique frauduleuse dans sa démarche.

De même, il ne compte pas mettre à disposition son application au grand public, mais précise tout de même qu'elle est facile à recréer et se compose d'environ 500 lignes de code javascript. De quoi donner des idées à certains développeurs, en attendant que, peut-être, les compagnies aériennes se décident à combler la faille en question.
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

Emmanuel Macron se moque des opposants au déploiement de la 5G
L'UE envisage de renforcer les limites d'émission de CO2 pour le secteur automobile
Clubic évolue (en douceur)
5G : plusieurs dizaines d'élus de gauche veulent repousser le lancement de la technologie
AMD dévoile le design de sa Radeon RX 6000 sur Twitter
Le data center sous-marin de Microsoft refait surface après deux ans d'immersion
Après Bouygues, au tour de RED by SFR d'augmenter des forfaits sans possibilité de refus
PS5 : des jeux jusqu'à 79,99 €, soit 10 € de plus que sur l'ancienne génération ?!
NVIDIA achète ARM pour 40 milliards de dollars
La fin du pétrole ? Pour BP, la demande ne fera que baisser à partir de 2020
scroll top