par Il existe des fuites de données qui demandent un piratage sophistiqué. Celle révélée chez Frontier Airlines, compagnie low-cost américaine, n’a besoin que de deux informations imprimées sur n’importe quelle carte d’embarquement.
Ces deux clés, c’est le code de réservation à six caractères, ce petit code alphanumérique en haut du billet, et le nom de famille du passager. Les deux figurent en clair sur le billet papier, et se retrouvent aussi encodés dans le code-barres scanné à la porte d’embarquement.
Avec ce simple duo, l’interface technique de l’application mobile de la compagnie renvoie l’intégralité du dossier voyageur. On y trouve le numéro de passeport, l’adresse postale, l’e-mail, le téléphone et la date de naissance, y compris celle des enfants mineurs rattachés à la réservation.
S’ajoute à ça le numéro TSA PreCheck, ce sésame qui accélère les contrôles dans les aéroports américains, le numéro de fidélité et l’historique des paiements. Le plus sensible reste la carte bancaire : l’application expose le nom du titulaire, l’adresse de facturation, la date d’expiration ainsi que les six premiers et les quatre derniers chiffres du numéro. Sur seize chiffres, cinq seulement manquent à l’appel, et le dernier d’entre eux se recalcule à partir des autres grâce à une formule mathématique publique. Un script reconstitue le numéro complet en quelques secondes.
Pour compliquer la lecture sauvage de vos documents de voyage, un étui anti-RFID protège passeport et cartes bancaires :
Étui anti-RFID Amazon Basics pour passeport et cartes → voir sur Amazon
Lien affilié Amazon. En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.
Le pire, c’est qu’il n’y a même pas besoin de voler le billet. Un coup d’œil au code-barres affiché sur l’écran de téléphone d’un voisin de salle d’embarquement, ou une photo prise à la volée, livre déjà les deux clés. Et combien de voyageurs publient fièrement leur carte d’embarquement sur Instagram avant le départ ?
La découverte revient à un chercheur en sécurité connu sous le pseudonyme BobDaHacker, qui a aussi constaté que le site web de la compagnie affichait sans détour les mêmes données dans son espace de gestion des réservations.
La chronologie laisse songeur. Frontier a été prévenue début mars. Plus de cent jours plus tard, les failles les plus graves restaient ouvertes, la compagnie s’étant contentée de colmater un point d’entrée avant de remercier le chercheur en lui envoyant un modèle réduit d’avion. Aucune déclaration publique depuis.
La leçon dépasse le cas Frontier. Une carte d’embarquement n’est pas un bout de papier anodin : c’est une porte d’entrée vers votre identité. On la garde, on la déchire après usage, et surtout on évite de la photographier pour les réseaux sociaux.
En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.
Crédit photo : Frontier Airlines (Wikimedia Commons)
