Un hacker développe une application pour accéder à tous les salons des compagnies aériennes

Un hacker polonais a découvert une faille dans le système permettant d'entrer dans les salons des compagnies aériennes, installés dans les aéroports du monde entier. Il a développé une application lui permettant d'y entrer sans disposer des billets d'avion associés.

Przemek Jaroszewski est un hacker éthique polonais qui a trouvé une faille dans le système mis en place par les compagnies aériennes lorsqu'il s'agit de valider, ou non, l'entrée d'un passager dans un salon d'aéroport. Normalement, l'accès aux lounges se fait selon la catégorie du billet - si le passager vole en classe business, par exemple - ou encore selon le niveau d'accès à un programme fidélité, ou encore s'il a acheté son droit d'entrée. Mais en pratique, Przemek Jaroszewski a découvert que le droit d'entrée à un salon est codé dans le QR Code que l'on trouve sur les cartes d'embarquement, mais qu'il n'est quasiment jamais vérifié par le biais d'une base de données centrale.


Résultat : à partir du moment où est parvenu à déterminer l'information du QR Code permettant l'accès à un salon, Przemek Jaroszewski a pu générer des accès à la pelle grâce à une application développée pour l'occasion. Ce grand voyageur qui prend l'avion entre 50 et 80 fois par an n'avait pas nécessairement besoin de ça pour accéder aux lounges du monde entier, mais il a poussé l'expérience très loin en utilisant son système presque à chaque fois. Il s'est ainsi invité dans des dizaines de salons de compagnies aériennes, principalement en Europe, avec de fausses cartes d'embarquement. Néanmoins, l'accès à ces espaces des aéroports nécessitaient tout de même de disposer d'une carte d'embarquement bien réelle, mais le hacker n'avait ensuite plus qu'à choisir le salon le plus luxueux pour attendre que les portes de son avion ne s'ouvrent. « Il faut littéralement 10 secondes pour créer une carte d'embarquement, et elle n'a même pas besoin de sembler légitime car vous n'êtes à aucun moment en contact avec des humains » explique le hacker. Dans une vidéo publiée par ses soins, on le voit ainsi se créer une identité bidon - Bartholomew Simpson - et entrer, ni vu ni connu, dans le salon de Turkish Airlines situé dans l'aéroport d'Istanbul.



Ce n'est, par ailleurs, pas la seule utilité de cette application, qui a fait l'objet d'une présentation à la conférence Defcon de Las Vegas le week-end dernier : Przemek Jaroszewski a également pu s'en servir pour acheter des produits en duty free en présentant de fausses cartes d'embarquement de voyages internationaux, pour bénéficier de meilleurs prix.

Le hacker souligne cependant qu'il n'a testé sa méthode que dans des situations où il répondait lui-même aux conditions d'éligibilité : il n'est rentré que dans des salons dont il possédait légitimement le droit d'accès et il en est de même pour ses achats en duty free. Dans tous les cas, l'expérience n'était que le dédoublement expérimental d'une situation légale, Przemek Jaroszewski ne voulant pas légitimiser une pratique frauduleuse dans sa démarche.

De même, il ne compte pas mettre à disposition son application au grand public, mais précise tout de même qu'elle est facile à recréer et se compose d'environ 500 lignes de code javascript. De quoi donner des idées à certains développeurs, en attendant que, peut-être, les compagnies aériennes se décident à combler la faille en question.