Les pratiques en matière de sécurité des données chez KLM ne sont pas idéales © NYC Russ / Shutterstock
Les pratiques en matière de sécurité des données chez KLM ne sont pas idéales © NYC Russ / Shutterstock

Mauvaise nouvelle pour Air France-KLM à quelques jours des fêtes de fin d’année. Il semblerait que l’entreprise d’aviation ait été un peu laxiste sur les mesures de sécurisation des données de ses passagers et passagères.

Un petit lien facile à deviner et ce sont vos données personnelles qui se retrouvent dans la nature. D’après une enquête menée par la NOS (l’organisation audiovisuelle publique néerlandaise) et un spécialise en cybersécurité, Air France-KLM aurait employé des méthodes de protection de données bancales pour masquer les numéros de téléphone, adresse mail et certains numéros de passeports appartenant aux clients et clientes de l’entreprise. Le coup est particulièrement dur pour la compagnie aérienne qui avait déjà subi un piratage plus tôt dans l'année.

6 chiffres qui ne suffisent pas

L’enquête menée par la NOS concerne surtout KLM, mais précise que les données de clients et clientes d’Air France sont aussi concernées. À date, KLM n’a pas précisé l’ampleur ou la gravité de l’attaque, ni même si les informations personnelles de passagers ou passagères ont bel et bien été consultées par un acteur malveillant. L’entreprise assure cependant que la faille n’est désormais plus exploitable.

Le problème identifié par la NOS venait du SMS envoyé aux passagers et passagères ayant pris un billet auprès de l’entreprise. Ce dernier contenait un lien permettant d’accéder à ses informations de vol. Problème, les liens ne faisaient que 6 caractères. Il était donc relativement aisé pour une machine d’essayer des milliers de combinaisons pour espérer tomber sur une page contenant les données privées d’une personne tierce.

Comme l’explique l’organisation audiovisuelle publique néerlandaise « toutes les 100 à 200 tentatives aboutissaient à un lien valide, ce qui signifie que les liens de vols de nombreux clients ont dû être accessibles. » Tous les liens ne cachaient, heureusement, pas d’informations personnelles. KLM n’a pas souhaité communiquer sur le nombre de liens valides publiquement accessibles sur le web, se contentant de dire que les messages contenant ces liens n’ont été envoyés « qu’à un petit pourcentage de la clientèle ».

284 millions de liens potentiellement valides

Selon les calculs de la NOS, « Environ 0,5 à 1,5 % des liens essayés se sont révélés opérants. ». Sur les 57 milliards de combinaisons à 6 chiffres possibles, si 0,5 % des liens cachaient des informations de vols, cela fait 284 millions de combinaisons potentiellement valides. Rien qu'en quelques heures, c’est plus de 900 liens contenant des informations de vols ou des informations personnelles de passagers que la NOS a réussi à déterrer.

Les très nombreuses tentatives d’accès opérées par la NOS ont heureusement fait sonner des alarmes chez KLM, qui a déployé une équipe pour corriger le problème. Désormais, il est nécessaire de se connecter pour accéder à ses informations de vols. Malheureusement, même avec le déploiement de ce correctif, la situation n’est pas idéale.

La sécurité via l'obscurité

« La NOS n’a fait aucun effort pour passer inaperçue. Un acteur malicieux aurait très bien pu changer constamment son adresse IP pour rester sous les radars », explique la chaîne publique. Même avec les coups de bélier lancés par la NOS, il a fallu 5 heures à KLM pour bloquer les adresses IP derrière « l’attaque ».

Cacher des informations derrière une URL compliquée à deviner consiste à employer une technique appelée « sécurité par l’obscurité » et c’est rarement très efficace © Jarretera
Cacher des informations derrière une URL compliquée à deviner consiste à employer une technique appelée « sécurité par l’obscurité » et c’est rarement très efficace © Jarretera

SI KLM explique ne pas vouloir donner plus d’informations sur le sujet pour ne pas dévoiler « les détails de sa politique de sécurité », il est tout de même inquiétant de voir que des informations personnelles étaient librement accessibles sur le web pour qui savait où chercher. Même si les numéros de passeports, données hautement sensibles, n’étaient pas toujours présents sur les fiches de vol, l’adresse mail, le numéro de téléphone et les informations concernant le trajet constituent déjà un trésor inestimable pour des hackers mal intentionnés.

Ces données suffisent largement à créer des campagnes de phishing convaincantes et hyper ciblées. Faites donc attention dans les prochaines semaines si vous recevez des courriels louches de la part de compagnies aériennes.

Source : NOS