Le journaliste fait appel à Adam Laurie, membre de Trifinite qui s'amusait déjà avec les pistes magnétiques de cartes d'embarquement. Et ensembles, ils parviennent à non seulement accéder via le site web de la compagnie aux informations personnelles du passager (adresse, numéros de téléphone, nationalité, date de naissance, numéro de passeport, etc.), mais se voient également proposés la possiblité de les modifier !

Le problème ici est double. D'un côté, les compagnies aériennes accumulent de plus en plus d'informations sur leurs passagers. Pour leurs besoin propres certes, mais surtout pour satisfaire les règlementations de sécurité aérienne et de lutte contre le terrorrisme aérien en général et de chaque pays en particulier, le data mining dans ce monstrueuses bases de données permettant de repérer les passagers potentiellement dangeureux. En tête, les États Unis et la longue liste d'information qu'ils exigent des compagnies à propos des passagers qui débarquent ou transitent par leur territoire et qui alimentent un système dont l'efficacité reste encore à prouver, surtout depuis le 11 septembre... D'un autre côté, nous avons des systèmes d'information qui s'ouvrent de plus en plus à nous, consommateurs friants de services en ligne : réservation en ligne, confirmation en ligne, enregistrement en ligne, etc. Et forcément, quand une faille, même bête, vient se glisser là dedans, ça fait mal. CQFD.

Moins grave, mais toujours dans le même secteur, j'apprécie particulièrement le site web de ma compagnie aérienne préférée[1] qui, lorsque vous l'adressez explicitement en HTTPS, vous renvoie cordialement vers une page en clair, via un meta-equiv=refresh pointant sur une URL absolue. Évidemment, sur cette page, vous avez le formulaire de login. Trop merci. Il faut donc y aller à la mano pour rajouter un tout petit "s" dans la nouvelle URL pour ne pas prendre le risque de se faire voler ses identifiants. Et à quoi a-t-on accès quand on se logue ? Pleins d'informations personnelles, modifiables à loisir forcément, mais encore le récapitulatif sur 8 mois de vos déplacements qui-font-gagner-des-miles, et, cerise sur le gateau, la possibilité de commander des billets et autres bonus gratuits (ou presque) avec les miles disponibles.

Toujours dans le même genre, mais plus le même secteur, la page de login de mon FAI qui n'est proposée qu'en clair. On accèdera non seulement aux informations personnelles de l'abonné, mais aussi à ses références bancaires, ses notes de téléphone détaillées, s'il est abonné à XXL (ou pas), etc. Et évidemment, la possibilité de modifier tout ça, de commander des options, d'en stopper d'autres, etc. On me dira, c'est toujours mieux qu'un autre FAI qui ne propose même pas de login lorsque la connexion vient de la ligne de l'abonné, "fontionnalité" qui plait beaucoup aux gens qui passent leur temps à courir derrière les réseaux WiFi mal protégés. Ceci dit, lui, au moins, il propose du HTTPS pour se loguer, même s'il faut le demander explicitement.

Alors il parait qu'en France, il y aurait des lois qui diraient que "le responsable du traitement [des données nominatives] est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès"[2] et que "le non-respect de l'obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de 300 000 euros d'amende"[3]. Et bien des fois, quand je vois que même le simple fait de passer en HTTPS pour un formulaire de login relève du luxe, j'en arrive à douter de l'existence de ces textes...

Notes

[1] Ou plutôt celle que je prends le plus souvent

[2] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite Informatique et Libertés, article 34

[3] Art. 226-17 du code pénal