Une importante faille de sécurité a exposé près d'un million d'enregistrements d'objets trouvés dans les aéroports, compromettant à la fois des documents d'identité et données personnelles sensibles de voyageurs du monde entier.
Le chercheur en cybersécurité Jeremiah Fowler a identifié une brèche majeure de fuites de passeport, permis de conduire et autres documents chez Lost and Found Software. Si vous ne connaissez pas cette entreprise allemande, elle est spécialisée dans le suivi d'objets égarés dans les aéroports.
L'expert a découvert dix bases de données non protégées par mot de passe, pour un total de 122 Go d'informations sensibles appartenant à des voyageurs aux États-Unis, au Canada et en Europe, dont l'entreprise assure le service.
Des passeports et permis de conduire haute résolution compromis en ligne
Comme le révèle Jeremiah Fowler, les bases exposées contenaient des images haute résolution de passeports et de permis de conduire, mais pas que. On retrouve aussi des confirmations de paiement, des reçus originaux et d'autres documents financiers comportant des informations personnelles identifiables. Autant d'éléments qui pourraient facilement être exploités par des cybercriminels.
Des captures d'écran d'étiquettes d'expédition et de correspondances personnelles étaient également stockées dans des dossiers intitulés « image de l'utilisateur et image de l'article ». Parmi les objets répertoriés figuraient des appareils médicaux, des ordinateurs, des portefeuilles, des sacs et divers effets personnels que les voyageurs emportent habituellement avec eux.
On ignore si ces documents étaient eux-mêmes des objets perdus, ou s'ils ont été téléchargés par le personnel lors de vérifications. En tout cas, après sa découverte, Fowler a contacté l'entreprise allemande, qui a rapidement sécurisé les bases de données, sans que l'on sache combien de temps elles sont restées vulnérables.
Un risque d'usurpation d'identité et de fraude certain pour les voyageurs concernés
Évidemment, l'exposition même furtive de tels documents pourrait avoir des conséquences pour les principaux intéressés. L'usurpation d'identité constitue le danger majeur lié à cette fuite. Les documents exposés pourraient servir à créer des identités frauduleuses, ouvrir de nouveaux comptes ou évidemment être revendus sur le dark web.
Les escroqueries ciblées représentent une autre menace, une de plus, pourrait-on dire. Avec la connaissance détaillée des objets perdus, des malfaiteurs pourraient se faire passer pour des représentants légitimes et inciter les voyageurs à fournir des informations financières supplémentaires sous prétexte de faciliter la restitution d'objets de valeur.
Bien qu'aucune preuve d'utilisation abusive des données n'ait été découverte, les voyageurs potentiellement affectés vont devoir surveiller leurs rapports de crédit. Ils devront aussi vérifier l'authenticité des communications reçues et envisager un dépôt de plainte au moindre doute.
