Saviez-vous qu’on peut facilement pirater un PNR ?

Grâce aux technologies modernes telles que les smartphones et les réservations sur Internet, prendre un vol est devenu beaucoup plus pratique. Toutefois, cela entraîne un risque accru, car les criminels disposent de nouveaux moyens de vous arnaquer. Et un moyen est de voler les informations du billet électronique ou du PNR

Wandera utilisée par plusieurs grandes entreprises

D’importantes sociétés utilisent déjà les systèmes de sécurité comme KPMG, Bloomberg, Samsung, Paypal, Mastercard, Rolex. La société a deux sièges sociaux : l’un à Londres et l’autre à San Francisco. L’entreprise a été primée plusieurs fois.

Wandera révèle des failles dans le système de billetterie électronique

Les chercheurs en sécurité de Wandera ont révélé une nouvelle vulnérabilité du système de billetterie électronique. Découvert en décembre, il permet aux pirates de voler vos informations personnelles dans des e-mails d’enregistrement automatisés non sécurisés, ou même d’imprimer votre carte d’embarquement.

Pour être clair, il n’y a aucune preuve pour prouver une violation majeure des données de cette faille. Cependant, rien ne dit non plus que cela n’arrivera pas, et cela concerne au moins huit grandes compagnies aériennes, notamment Southwest, Air France, KLM, Vueling, Jetstar, Thomas Cook, Transavia et Air Europa.

Il est possible d’accéder à de nombreuses informations personnelles

Les équipe de recherche ont découvert une vulnérabilité affectant un certain nombre de systèmes de billetterie électronique des compagnies aériennes, susceptible de révéler des informations d’identification personnelle (PII) des passagers.

Cette vulnérabilité peut exposer les données des passagers en utilisant des liens facilement interceptés par les pirates. Les liens interceptés et non cryptés permettent à des tiers non autorisés de voir et, dans certains cas, de modifier les détails de la réservation de vol d’un utilisateur et / ou d’imprimer leur carte d’embarquement.

Une facilité d’accès déconcertante

Quand le passager reçoit son email de confirmation, il est dirigé vers le site (via un lien non crypté) où il est automatiquement connecté à l’enregistrement de son vol. Dans certains cas, il peut ensuite apporter certaines modifications à sa réservation et imprimer sa carte d’embarquement.

Un pirate informatique situé sur le même réseau que le passager peut facilement intercepter la demande de lien, l’utiliser lui-même, puis accéder à l’enregistrement en ligne du passager.

À quelles données les pirates pourraient-ils accéder ?

Un pirate informatique peut facilement intercepter les informations d’accès permettant d’accéder au système de billetterie électronique, qui contient l’ensemble des informations personnelles associées à la réservation de la compagnie aérienne.

À l’aide de ces informations d’identification, l’attaquant peut consulter le système de billetterie électronique à tout moment, même plusieurs fois, avant le décollage du vol et accéder à tous les renseignements personnels associés à la réservation de la compagnie aérienne dont : Adresses mail – Prénoms – Noms de famille – Numéros de document (passeport / ID) – Pays émetteurs de documents – Dates Expiration du document -Références de réservation – Numéros de vol – Assignations de siège – Sélections de bagages

Les recommandations de Wandera

Les compagnies aériennes devraient adopter le cryptage tout au long du processus d’enregistrement. Les compagnies aériennes devraient exiger une authentification de l’utilisateur pour toutes les étapes où les informations personnelles sont accessibles, et en particulier lorsqu’elles sont modifiables.

Les compagnies aériennes devraient utiliser des jetons à usage unique pour les liens directs dans les emails. Les utilisateurs doivent disposer d’un service de sécurité mobile actif déployé pour surveiller et bloquer les fuites de données et les attaques de phishing.

On se souvient de British Airways

Ce n’est pas la première fois que des compagnies aériennes sont inquiétées par des hackers. Souvenez-vous, en septembre dernier, British Airways était victime d’un vol massif de données : 380 000 clients touchés.

On souhaiterait que les compagnies aériennes réagissent pour la sécurité des clients. Non ?

 

 

 

Print Friendly, PDF & Email
Facebook
Twitter
LinkedIn

Commentaires

commentaires

Aucun commentaire

Laisser une réponse