Mise à jour le 07 mars 2018 avec la réponse de Konark Modi, ci-après.

La protection des données personnelles n’est pas assurée sur emirates.com et sur l’application mobile

Konark Modi, un spécialiste de la sécurité de Cliqz, une entreprise qui offre un navigateur web basé sur Firefox qui protège la vie privée, a découvert, en procédant à des tests en octobre 2017, qu’une compagnie aérienne comme Emirates se moquait éperdument de la protection des données personnelles de ses clients.

Quand un client commande un billet sur emirates.com, des informations personnelles identifiables sont partagées avec une trentaine de traqueurs, et les données de la réservation seraient partagées avec une douzaine de traqueurs, dont Google, Facebook, Twitter, les entreprises de publicité numérique et de statistiques Boxever, Qbit, CrazyEgg, et l’entreprise d’analyse de risque financier Coremetrix.

Certains traqueurs sont nécessaires pour l’offre de services, et quelques uns sont explicitement mentionnés dans la politique de confidentialité du site. Ce qui est inacceptable, c’est que tous les traqueurs sont présents sur toutes les pages du site, sans tenir compte de ce qui est privé et de ce qui ne l’est pas, si l’on en croit l’auteur de l’analyse.

Parmi les données qui seraient partagées avec des tiers: nom, prénom, adresse de courriel, itinéraire, numéro de téléphone, numéro de passeport, détails du passeport.

Ce qui ressemble à une infraction caractérisée à la régulation européenne sur la protection des données personnelles.

De plus, le lien qui permet de gérer les préférences est un lien http qui n’est pas sécurité, alors que la compagnie aérienne ne devrait utiliser que des connexions chiffrées https.

Pire encore, toutes les personnes ayant accès aux hyperliens si gracieusement partagés par Emirates, pourraient non seulement lire, mais aussi modifier les informations, pour par exemple: changer le vol ou l’annuler, changer le siège ou les préférences du menu, ajouter des produits à la réservation, changer ou ajouter des informations sur le passeport,  changer les informations Frequent Flyer, changer le sexe de la personne, etc.

D’après Modi, Emirates n’est pas la seule compagnie aérienne avec une attitude aussi cavalière, ou une incompétence technique totale, pour la protection des données personnelles. Il affirme que lors de son dernier test, en octobre 2017, des problèmes similaires affectaient d’autres compagnies aériennes comme Lufthansa et KLM.

Suite à sa découverte en octobre 2017, Modi aurait immédiatement tenté de contacter Emirates. Ne trouvant pas de coordonnées sur le site pour indiquer des bogues de sécurité, il passe par Twitter pour contacter l’équipe en charge des réseaux sociaux, qui affirme avoir passé les informations à l’équipe de support en ligne.

Toutefois, d’après Modi, la plupart des problèmes n’ont pas disparu début mars 2018. Et il est impossible de passer outre ce système, si l’on souhaite effectuer une réservation?

Modi offre alors des conseils aux développeurs afin qu’ils corrigent le site. On serait malheureusement étonné qu’ils en tiennent compte.

Emirates récuse les accusations

Emirates a envoyé le communiqué suivant au site The Register *:

« Nous sommes au courant de l’article publié par M. Konark Modi le 2 mars 2018. Nous prenons au sérieux toutes les réclamations concernant les atteintes à la sécurité ou à la vie privée et nous avons procédé à un examen approfondi de nos sites et de nos systèmes. Nous pouvons confirmer qu’aucune des failles de sécurité mises en évidence dans l’article de M. Modi ne permettra une violation (accès non autorisé) de données personnelles sur notre site Web ou notre application mobile.
Bien que nous utilisions un certain nombre d’outils analytiques tiers sur nos sites dans le but d’améliorer l’expérience de navigation en ligne, nous examinons continuellement la façon dont ils sont mis en œuvre. La description dans l’article de M. Modi quant à ce que les données sont partagées, ou le choix du client dans «opting out» est inexacte. Nous nous engageons à protéger la confidentialité des données personnelles de nos clients. Les clients peuvent en savoir plus sur la façon dont nous utilisons les données personnelles et sur la façon dont ils peuvent les exclure en lisant notre politique de confidentialité sur emirates.com. »

Une dénégation trop vague pour rassurer, et qui n’informe pas quand le système aurait été corrigé.  On ne serait pas surpris que Modi prouve le contraire dans les prochains jours.

Konark Modi les maintient

Le 7 mars 2018, Modi répond à Emirates :

– Pour changer la réservation, il suffit d’en connaître le numéro et le nom de famille du client (comme sur la plupart des systèmes des autres compagnies aériennes), deux données transmises aux traqueurs : il s’agit bien d’une intrusion. Dans sa politique de confidentialité, Emirates stipule d’ailleurs qu’il faut assurer la confidentialité de la référence de réservation.

– L’application mobile 6.1.0 d’Emirates permet bien de modifier la réservation à l’aide de ces deux informations.

– Modi maintient qu’au 6 mars, les données personnelles mentionnées plus haut sont toujours envoyées à la douzaine de traqueurs.

– Ils sont toujours envoyés par HTTP au lieu de HTTPS : les données sont susceptibles d’être interceptées par une attaque de l’homme du milieu, et des pirates pourraient les exploiter pour modifier ou supprimer les réservations.

– Certaines données personnelles ne sont plus accessibles sur le site web, mais le restent sur l’application mobile.

La question centrale demeure : pourquoi envoyer inutilement, sans sécurité et sans motif des données personnelles à des traqueurs qui ne sont pas censés y avoir accès, ni avoir de motif pour y avoir accès ?

 

 

* Traduction: Le Diligent