C’est sur le système de réservation de billets utilisé par près de la moitié des compagnies aériennes, qu’une vulnérabilité a été découverte. La faille a depuis été corrigée.

Une faille qui a affecté 141 compagnies aériennes

Les pirates informatiques et les experts en sécurité découvrent très régulièrement des failles de sécurité dans les systèmes informatiques. Mal exploitées, ces failles peuvent se révéler très dangereuses et menacer la sécurité et les données sensibles. Cette fois ci, c’est une faille majeure qui a été découverte dans le système de réservation de billets utilisé par près de la moitié des compagnies aériennes, dont de très connues.

Selon les experts en sécurité, la faille concernait le système de réservation de billets Amadeus. Celui-ci est utilisé par 141 compagnies aériennes. Cette vulnérabilité permettait aux pirates de visualiser et de modifier très aisément les informations privées des passagers mais aussi de réclamer des miles d’autres passagers et de les attribuer à leur compte. Ils pouvaient aussi librement modifier les informations d’un passager et même annuler leur billet.

Bien qu’il ne s’agisse pas d’une menace pour la sécurité ou les données financières, les hackers auraient potentiellement pu semer le chaos auprès des compagnies aériennes.

Le système utilisé par les compagnies aériennes mal protégé

Les experts en sécurité ont découvert, par ailleurs, que le système Amadeus de réservation de billets était très mal protégé. Les codes PNR sont envoyés non chiffrés aux clients et ceux-ci ne les protègent pas. De plus, le système ne dispose pas de protection contre les attaques par force brute et qu’un simple script pouvait générer des PNR aléatoires. Les experts en sécurité ont commenté leurs découvertes aux équipes de sécurité d’Amadeus. Les failles ont depuis été corrigées d’après l’entreprise.

L’entreprise Amadeus, qui fournit le système, a publié un communiqué pour rassurer les passagers : « Chez Amadeus, nous accordons la priorité absolue à la sécurité et surveillons et actualisons en permanence nos systèmes. Nos équipes techniques ont pris des mesures immédiates et nous pouvons maintenant confirmer que le problème est résolu. Pour renforcer encore la sécurité, nous avons ajouté un PTR de récupération afin d’empêcher un utilisateur malveillant d’accéder aux informations personnelles des voyageurs. Nous regrettons les inconvénients que cette situation aurait pu causer ».

Let a comment