Huit compagnies aériennes envoient des liens d'enregistrement non cryptés et vulnérables
Cybersécurité

Huit compagnies aériennes envoient des liens d’enregistrement non cryptés et vulnérables

Des hackers auraient très bien pu se servir de ces liens d'enregistrement pour voler des données aux compagnies aériennes concernées.

Ce n’est pas la première fois que des compagnies aériennes sont inquiétées par des hackers. Souvenez-vous, en septembre dernier, British Airways était victime d’un vol massif de données : 380 000 clients touchés. Aujourd’hui c’est un rapport de la société Wandera, qui explique que des personnes malveillantes pourraient se servir des liens d’enregistrement envoyés par huit compagnies aériennes, pour les hacker et imprimer de nouvelles cartes d’embarquement.

On se demande comment en 2019 des compagnies mondiales peuvent encore prendre le risque de se faire attaquer de manière électronique. Pourtant c’est le cas. La vulnérabilité des courriers électroniques d’enregistrement envoyés aux clients, est édifiante. Ce sont des chercheurs en informatique appartenant à l’entreprise Wandera, qui ont fait cette découverte. Pour eux, le problème vient de l’utilisation des liens d’enregistrement non cryptés envoyés aux passagers par e-mail.

Ces liens ne sont pas cryptés, ce qui signifie que si un hacker est connecté sur le même réseau Wi-Fi, il pourrait sans trop de problème intercepter la demande et cliquer sur le lien pour accéder à la page d’enregistrement. Ce qui serait tout de même problématique. La société Wandera a déclaré cela : « nous avons identifié cette vulnérabilité dès le début du mois de décembre 2018. Nos équipes de recherche sur les menaces ont observé que les détails des passagers liés au voyage étaient envoyés sans cryptage. C’est à ce moment-là que nous avons avisé la compagnie aérienne et avons entrepris des recherches plus poussées. »

Le problème, c’est que quand le pirate a accès à la page, il peut consulter une quantité importante de renseignements personnels, les noms , les adresses, les numéros de passeport et d’identité du client qui a payé pour acheter son billet. Une attaque massive est peu probable, pour autant, un hacker décidé à nuire à une personne en particulier pourrait le faire en changeant les plans de son voyage par exemple. Seule solution pour le moment : s’assurer de la sécurité du réseau sur lequel vous consultez vos mails.

Send this to a friend