Un hacker développe une application pour accéder à tous les salons des compagnies aériennes

08 août 2016 à 12h08
0
Un hacker polonais a découvert une faille dans le système permettant d'entrer dans les salons des compagnies aériennes, installés dans les aéroports du monde entier. Il a développé une application lui permettant d'y entrer sans disposer des billets d'avion associés.

Przemek Jaroszewski est un hacker éthique polonais qui a trouvé une faille dans le système mis en place par les compagnies aériennes lorsqu'il s'agit de valider, ou non, l'entrée d'un passager dans un salon d'aéroport. Normalement, l'accès aux lounges se fait selon la catégorie du billet - si le passager vole en classe business, par exemple - ou encore selon le niveau d'accès à un programme fidélité, ou encore s'il a acheté son droit d'entrée. Mais en pratique, Przemek Jaroszewski a découvert que le droit d'entrée à un salon est codé dans le QR Code que l'on trouve sur les cartes d'embarquement, mais qu'il n'est quasiment jamais vérifié par le biais d'une base de données centrale.

2166000008516320-photo-przemek-jaroszewski.jpg

Résultat : à partir du moment où est parvenu à déterminer l'information du QR Code permettant l'accès à un salon, Przemek Jaroszewski a pu générer des accès à la pelle grâce à une application développée pour l'occasion. Ce grand voyageur qui prend l'avion entre 50 et 80 fois par an n'avait pas nécessairement besoin de ça pour accéder aux lounges du monde entier, mais il a poussé l'expérience très loin en utilisant son système presque à chaque fois. Il s'est ainsi invité dans des dizaines de salons de compagnies aériennes, principalement en Europe, avec de fausses cartes d'embarquement. Néanmoins, l'accès à ces espaces des aéroports nécessitaient tout de même de disposer d'une carte d'embarquement bien réelle, mais le hacker n'avait ensuite plus qu'à choisir le salon le plus luxueux pour attendre que les portes de son avion ne s'ouvrent. « Il faut littéralement 10 secondes pour créer une carte d'embarquement, et elle n'a même pas besoin de sembler légitime car vous n'êtes à aucun moment en contact avec des humains » explique le hacker. Dans une vidéo publiée par ses soins, on le voit ainsi se créer une identité bidon - Bartholomew Simpson - et entrer, ni vu ni connu, dans le salon de Turkish Airlines situé dans l'aéroport d'Istanbul.



Ce n'est, par ailleurs, pas la seule utilité de cette application, qui a fait l'objet d'une présentation à la conférence Defcon de Las Vegas le week-end dernier : Przemek Jaroszewski a également pu s'en servir pour acheter des produits en duty free en présentant de fausses cartes d'embarquement de voyages internationaux, pour bénéficier de meilleurs prix.

Le hacker souligne cependant qu'il n'a testé sa méthode que dans des situations où il répondait lui-même aux conditions d'éligibilité : il n'est rentré que dans des salons dont il possédait légitimement le droit d'accès et il en est de même pour ses achats en duty free. Dans tous les cas, l'expérience n'était que le dédoublement expérimental d'une situation légale, Przemek Jaroszewski ne voulant pas légitimiser une pratique frauduleuse dans sa démarche.

De même, il ne compte pas mettre à disposition son application au grand public, mais précise tout de même qu'elle est facile à recréer et se compose d'environ 500 lignes de code javascript. De quoi donner des idées à certains développeurs, en attendant que, peut-être, les compagnies aériennes se décident à combler la faille en question.
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

La capitalisation boursière d'Apple dépasse celle de toutes les entreprises du CAC40 réunies
Une usine de production de cellule de batteries pour véhicules électriques bientôt en France ?
Découvrez la 2CV R-Fit 100% électrique, conçue en rétrofit
TikTok et maintenant WeChat : les USA veulent
Horizon Zero Dawn : le portage PC critiqué pour ses nombreux bugs
Xiaomi Mi 10 Ultra : une édition anniversaire qui veut
Des experts en sécurité inquiets à l'approche de la présentation du premier prototype Neuralink d'Elon Musk
Elon Musk envisage la construction d'un Cybertruck plus petit pour l'Europe
Clean Network, le projet des États-Unis pour préparer leur avenir technologique sans les Chinois
Delage dévoile un hypercar hybride à 2,3 millions de dollars
scroll top