‘Les systèmes de sécurité des compagnies aériennes sont aussi troués qu’une passoire’

© iStock
Wim Kopinga Redacteur DataNews.be

Il est très facile de bidouiller une carte d’embarquement. Il n’est donc pas sensé de poster la photo y figurant sur Facebook ou Instagram. Les systèmes de sécurité désuets des compagnies aériennes sont de toute façon aussi troués qu’une passoire, prévient Kurt Berghs de VASCO Data Security.

Scans corporels, présence militaire et contrôle des bagages: dans les aéroports, les mesures de sécurité sont strictes. Mais la manipulation des billets d’avion semble par contre un jeu d’enfant, selon Kurt Berghs de l’entreprise belge Vasco Data Security. Les pirates n’ont besoin que de quelques instants pour pénétrer dans le module des réservations des compagnies aériennes. Une fois dans la base de données, les fraudeurs peuvent faire pratiquement ce qu’ils veulent: changer les réservations et annuler des billets ou modifier les places dans l’avion. Ils peuvent aussi annuler des vols et faire verser l’argent sur leur compte.

Facile à pirater

‘Le point faible réside dans le numéro de réservation à six lettres que les voyageurs reçoivent après s’être enregistrés’, affirme Berghs. ‘Ce code leur permet de visionner ou de modifier une réservation. Les systèmes de sécurité surannés autorisent un nombre limité d’essais incorrects. Les hackers peuvent donc continuer de tenter leur chance, jusqu’à ce qu’ils trouvent le numéro de réservation ad hoc. Le code peut ainsi être piraté avec un simple script.’ Les ordinateurs qui traitent les réservations, datent des années septante et quatre-vingts. Ils sont à présent connectés à internet, mais n’ont jamais été modernisés.

‘Il est bizarre que le secteur n’ait jamais emboîté le pas aux autres.’ Choisir de travailler avec des comptes plutôt qu’avec des numéros de réservation serait déjà une première étape, selon Berghs: ‘Même si j’espère évidemment que les compagnies aériennes accomplissent encore un autre pas logique et sécurisent les comptes avec une authentification à deux facteurs. Par exemple un code qu’on reçoit sur son smartphone (un autre appareil donc), puis qu’il faut saisir sur son PC.’

Ne pas mettre en ligne la photo de votre billet

Mais la sécurité n’est pas seulement l’affaire des compagnies aériennes. Lorsqu’on déclare haut et fort qu’on va prendre l’avion, il faut faire attention à ce qu’on affiche. Il n’est par exemple pas sensé de réaliser un selfie de soi et de son billet d’avion. Le code de réservation personnel qu’il faut saisir pour pouvoir visionner ou modifier sa réservation, y figure en effet. Avant, c’était sous une forme textuelle, mais à présent, il est intégré à un code-barres. Et même si cela peut paraître sûr à première vue, il s’avère néanmoins assez facile de découper le code d’une photo et de le faire lire via un site web gratuit.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire