Ce site a bien failli offrir des vols et hôtels de luxe gratuits à vie aux pirates

En examinant la plate-forme Points.com, qui gère les programmes de fidélité de plusieurs compagnies aériennes et hôtels de luxe, des chercheurs en cybersécurité ont découvert des failles qui auraient permis de profiter de billets d'avion et de nuits d'hôtels gratuitement.

aeroport piratage
Crédits : 123RF

Qui a dit que le piratage servait uniquement à infiltrer des gouvernements ? Ou à récupérer illégalement des livres électroniques et des jeux vidéo ? Les hackers ont peut-être juste envie de voyager et séjourner dans des hôtels confortables après tout. Sauf qu'ils ont manqué l'occasion. Des chercheurs en cybersécurité, Ian Carroll, Shubham Shah, et Sam Curry, ont découvert des failles de sécurité importantes permettant de détourner les programmes de fidélité des compagnies aériennes et des hôtels.

On parle des fameux “miles”, ces points qu'on accumule au fil de nos trajets en avion et qui se transforment au bout d'un moment en billet gratuit. Même chose pour les nuits d'hôtels. Pour Sam Curry, la surprise venait “du fait qu'il y ait une entité centrale pour les programmes de fidélité, que presque toutes les grandes marques du monde utilisent”. En effet, la plate-forme Points.com gère le système fidélité de nombreuses compagnies aériennes et groupes hôteliers : Air France, KLM, Emirates, Hilton, Lufthansa… La liste est longue.

Des pirates auraient pu profiter de voyages en avion et de nuits d'hôtels gratuitement

En fouillant la structure de la plate-forme, les chercheurs ont découvert une vulnérabilité permettant à un hacker de récupérer toutes les données d'un compte client (identité, mails, adresse…). En exploitant un autre bug, le pirate pouvait créer un jeton d'identification avec juste le nom de famille et le nombre de points fidélité, accéder au compte et siphonner ses points. Pire : l'équipe a remarqué que Points.com attribuait à chaque utilisateur un cookie chiffré (ce qui est normal), mais que la clé pour le déchiffrer était le mot… “secret”. On a vu pire comme mot de passe, mais on a vu mieux.

Alertée, l'entreprise gérant le site Web a rapidement corrigé l'ensemble des failles relevées. Après examen, elle affirme également qu'elles n'ont pas été exploitées. Leur correction a été vérifiée et validée par les chercheurs eux-même et d'autres experts en cybersécurité. Pas d'inquiétude à avoir si vous profitez du programme de fidélité, vos points sont protégés.


Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers  !