•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Air Canada, Air France : la sécurité informatique de 141 compagnies aériennes compromise par une vulnérabilité

Un avion en train d'atterrir au coucher du soleil.

Le système de réservation Amadeus est utilisé par au moins 141 compagnies aériennes dans le monde.

Photo : iStock

Radio-Canada

Une vulnérabilité dans le système de réservation de vols Amadeus, utilisé par des centaines de millions de voyageurs dans le monde chaque année, exposait jusqu'à récemment au moins 141 compagnies aériennes au piratage des informations de leurs passagers.

L'expert en sécurité informatique Noam Rotem en a fait l’annonce mardi (Nouvelle fenêtre), après avoir collaboré avec Amadeus pour régler le problème. D’après le spécialiste, la faille concernait les données des dossiers passagers (PNR, pour Passenger Name Record), un ensemble d’informations sur les voyageurs qui sont créées lors d’une réservation.

Une personne mal intentionnée aurait pu se servir d’un problème associé aux PNR pour changer le nom ou l’adresse de résidence d’un passager après une réservation, lui assigner des sièges différents, obtenir ses informations de carte de crédit ou se faire créditer des points de récompense.

Les PNR sont partagés entre les systèmes informatiques des compagnies aériennes, des services de réservation et des services frontaliers des pays visités afin d’identifier les voyageurs et assurer la sécurité aérienne et nationale.

Noam Rotem a programmé un script capable de générer au hasard des PNR et de les vérifier ensuite sur le site web des compagnies aériennes. Selon lui, aucun système de sécurité n’était en place pour détecter qu’un système automatisé testait des dizaines de numéros par minute.

Amadeus dit avoir colmaté la brèche découverte par l'expert en informatique. « À Amadeus, nous accordons la priorité à la sécurité et nous assurons une surveillance et une mise à jour constantes de nos systèmes », a indiqué l’entreprise à Safety Detective, un média spécialisé avec lequel Noam Rotem a collaboré dans cette affaire. « Nos équipes techniques ont agi immédiatement et nous pouvons maintenant confirmer que le problème est réglé. »

Noam Rotem estime toutefois que les systèmes du genre resteront vulnérables aux attaques tant et aussi longtemps que les PNR continueront d’être utilisés. Ces données suivent des normes internationales établies par l'Association internationale du transport aérien et leur modification nécessiterait donc un consensus mondial.

La liste des compagnies aériennes touchées par le problème n’a pas été publiée. Le court rapport disponible sur le site web de Safety Detective indique seulement que la faille existait dans les systèmes des « 141 compagnies aériennes utilisant Amadeus », incluant Air Canada, Air France, United Airlines et Lufthansa. Le site web d’Amadeus mentionne toutefois que l’entreprise fait affaire avec plus de 200 compagnies aériennes.

Avec les informations de Techcrunch

Cybersécurité

Techno