Gare à l'excès d'enthousiasme qui conduit à afficher son billet d'avion ou sa carte d'embarquement sur les réseaux sociaux. Cette présentation anodine pourrait devenir une opportunité pour des personnes malveillantes de récupérer des informations personnelles, voire de les modifier.
L'accès au système de réservation à partir du nom du passager et d'un code comportant 6 caractères, ainsi que le fonctionnement centralisé de la plate-forme, ne sont plus en phase avec les besoins actuels en matière de sécurité informatique, alors même que des quantités grandissantes de données personnelles y transitent.
Un système trop facile à contourner
Et justement, nom du passager et code de son dossier sont souvent affichés sur le billet d'avion ou sur les étiquettes des bagages, et ces deux informations suffisent à n'importe qui pour accéder aux informations du passager.
Si l'on ajoute que certains prestataires ont leur petites habitudes en matière de création de code, bien comprises des hackers, et que diverses plates-formes ne limitent pas le nombre d'essais avant de trouver le code correspondant, s'introduire dans le système de réservation serait (presque) un jeu d'enfant.
Il serait ainsi possible par exemple de modifier la place dans l'avion (Karsten Nohl a ainsi installé un journaliste de la TV allemande ARD à côté d'un député en guise de démonstration), d'annuler un vol programmé et d'en créer un nouveau avec un autre nom pour voyager aux frais de la victime, ou encore de s'approprier les points des programmes de fidélité.
Les experts en sécurité indiquent que certains acteurs ont commencé à prendre des mesures pour limiter l'accès frauduleux au système de réservation mais que les protections sont encore insuffisantes.
