Le spécialiste de la sécurité Wandera affirme que les systèmes de tickets électroniques d’Air France, KLM, Southwest, Vueling, Jetstar, Thomas Cook, Transavia et Air Europa, peuvent exposer les informations personnelles des passagères et des passagers.
Ces compagnies aériennes envoient à leurs clients par courriel des liens non chiffrés pour l’enregistrement.
Quand un tel lien est cliqué, un passager est redirigé vers un site où il est automatiquement connecté au système d’enregistrement en ligne.
Un pirate sur le même réseau peut facilement intercepter ces liens.
Une fois que le passager a suivi le lien, un pirate sur le même réseau peut facilement accéder à ses identifiants pour le système de e-checking, qui contient toutes les informations personnellement identifiables associées : un sous-ensemble, en fonction de la compagnie aérienne, des informations suivantes : nom complet, numéro de confirmation, numéro de carte de fidélité, adresses de courriel, numéro de passeport, référence de réservation, numéro de vol, heure de départ et d’arrivée, numéro du siège, carte d’embarquement, etc.
Sur certains systèmes, le pirate pourra aussi choisir un autre siège, ajouter ou supprimer des bagages, et changer le numéro de portable ou le courriel associé à la réservation.
Wandera affirme avoir suivi une procédure responsable de divulgation, en alertant en toute confidence les compagnies aériennes pour leur dévoiler les failles, et en leur donnant un mois pour développer et mettre en place un correctif, avant d’alerter le grand public.
Notons qu’en général, le délai conféré à une entreprise est plutôt de trois mois. Il nous semble qu’un mois est un délai bien court pour un système aussi critique pour une compagnie aérienne que son système de réservation en ligne.