Vous êtes peut-être l’une de ces personnes qui n’auraient jamais envoyé une photo “intime” à quiconque, même pas à votre partenaire, sur internet.
Super. Mais si vous ne pouvez pas résister à la tentation de vous vanter au sujet de vos vacances ou de billets de concert que vous venez de recevoir, et ce en affichant la carte d’embarquement ou les billets en question, ou d’une manière générale tout ce qui contient un code-barres, sur les réseaux sociaux ou sur toute autre plate-forme publique, vous vous exposez alors d’une manière différente certes, mais avec clairement un risque réel.
Non, il ne s’agit pas d’une situation qui peut s’avérer publiquement embarrassante, en effet il n’est pas question ici de dévoiler des informations intimes. Mais cela pourrait vous coûter cher, et vous prendre pas mal de votre temps, car c’est un peu comme un portefeuille grand ouvert, ou encore un passeport. Ce code-barres contient beaucoup de données personnelles vous concernant, et ces informations ne sont pas vraiment difficiles à décoder. Si vous le publiez, cela revient à le remettre en mains propres à n’importe qui, y compris à des individus qui rêveraient de pourvoir usurper votre identité ou bien d’agir de façon malveillante en l’utilisant. Quand ces mêmes personnes connaissent vos projets de voyage, ils savent quand vous ne serez absent de votre domicile.
Vous ne pouvez pas dire que vous n’avez pas été prévenu. Certains experts en cybersécurité, Brian Krebs entre autres, ont expliqué par le passé qu’une carte d’embarquement pouvait fournir, non seulement un aperçu de votre voyage actuel ainsi que votre numéro de compte “frequent flyer”, mais aussi des informations sur vos futurs projets de voyage et un accès à des données personnelles telles que vos PII (informations personnelles identifiables), à savoir le numéro de téléphone, l’adresse, le numéro de passeport et bien plus encore.
Apparemment, tout le monde n’a pas écouté. Les gens continuent encore aujourd’hui de le faire. @JeromeVosgien vient de faire une recherche sur Instagram avec “#boardingpass” elle donne 92 391 résultats, et les “#concerttickets” ont généré 43 223 résultats.
Un autre expert en cybersécurité, Michael Špaček, a donné une conférence (en tchèque) lors d’un événement récent organisé par le domaine CZ en République tchèque, et a rédigé une synthèse de cette dernière, en y incluant une partie concernant les données personnelles que l’on pouvait obtenir à partir d’une photo d’une carte d’embarquement de British Airways, qu’un de ces amis avait mis en ligne sur Instagram, juste avant un voyage à Hong Kong avec sa femme.
Tout ce qu’il a eu à faire, a été d’entrer la référence de réservation sur le site internet de BA et de récupérer sa date de naissance (qui était disponible sur son profil Facebook) pour obtenir son numéro de passeport, afin de pouvoir modifier les détails de son compte, annuler de futurs vols, modifier le numéro du passeport, la citoyenneté, la date d’expiration et la date de naissance, ce qu’il n’a pas fait bien entendu. Heureusement, la “victime” était une amie !
Špaček a également noté que les codes-barres pour les cartes d’embarquement sont de plus en plus utilisés sur les appareils mobiles comme les smartphones ou les montres intelligentes. Le soi-disant “code Aztec” contient toutes ces données personnelles, y compris les numéros des programmes de fidélité. Dans un autre cas, il avait obtenu l’image du code Aztec pour une carte d’embarquement sur United Airlines. Alors qu’United n’imprime pas l’intégralité du numéro, en fournissant seulement les trois derniers chiffres et en masquant le reste, le numéro complet se trouve de toutes les façons dans le code Aztec !
Dans ce cas, il a constaté qu’il pouvait détourner le compte simplement en sélectionnant “Mot de passe oublié” sur le site web de United et en répondant à quelques questions de sécurité faciles. Après une mise à jour, Špaček a déclaré que United a ajouté une troisième mesure de sécurité qui oblige le client à cliquer sur un lien qui génère ensuite un email pour activer la modification du mot de passe.
Mais il n’a pas été impressionné. “De nos jours, je pourrai très bien déclencher un tel email”, a-t-il écrit.
OK, mais Špaček est un expert en cybersécurité. Combien d’autres personnes malveillantes auraient les connaissances nécessaires pour mener une telle action ? Il s’avère que vous n’avez pas besoin d’être un expert ! Comme Krebs l’a signalé il y a presque deux ans maintenant, il existe des sites web pour vous aider. “Découvrir ce que le code-barres de votre carte d’embarquement contient ? Prenez une photo du code-barres avec votre téléphone, et téléchargez-le sur ce site“, avait-t-il écrit.
Certains des risques encourus ne sont pas imputables au voyageur. Krebs a cité un discours du CCC de l’an dernier (Chaos Communication Congress) à Berlin fait par les experts cybersécurité Karsten Nohl et Nemanja Nikodijevic, et qui ont souligné que le code de réservation à six chiffres, également connu sous le nom de PNR (passenger name record), équivaut à un mot de passe temporaire, mais il est imprimé sur chaque bagage enregistré !
Finalement leur conseil est relativement simple. Pour les novices, ne soyez pas exhibitionnistes, gardez vos photos hors ligne. Ensuite, ne laissez pas les cartes d’embarquement dans le siège de l’avion, ne les jetez pas non plus à la poubelle. Déchiquetez-les. Si vous ne pouvez pas résister à la tentation de les publier sur les réseaux sociaux, floutez au minimum le code-barres et le PNR.
Vos amis seront impressionnés lorsque vous leur enverrez des photos, à votre retour chez vous !
Billet inspiré de Don’t expose yourself with your boarding pass, sur Sophos nakedsecurity.