La photo fait 87 likes. Vos amis adorent votre bonheur pré-vacances. Ce que vous n’avez pas vu, c’est le petit rectangle zébré en bas de votre carte d’embarquement, parfaitement lisible sur l’image. Ce code-barres venait d’exposer bien plus qu’un numéro de vol.
À retenir
- Ce rectangle zébré encode bien plus que prévu : identité complète, passeport, PNR et accès à vos données de réservation
- Des pirates peuvent annuler vos vols, voler vos miles de fidélité, ou cibler votre maison vide pendant vos vacances
- Une simple obstruction au pouce ne suffit pas : la solution est de ne jamais publier cette photo
Ce que le code-barres cache vraiment
Ce petit rectangle de papier, apparemment anodin, renferme dans son code-barres un concentré d’informations personnelles qu’un escroc peut exploiter en quelques secondes. On imagine souvent que ce code se limite au numéro de vol, à la porte d’embarquement et au siège attribué. C’est faux, et de loin.
Le code-barres d’une carte d’embarquement contient des informations sensibles codées, généralement au format PDF417, un type de code-barres 2D. Il peut inclure le nom complet du passager, sa date de naissance, son numéro de passeport ou de pièce d’identité, les détails du vol (numéro, date, heure, aéroports, siège), mais aussi le numéro de billet et surtout le PNR : Passenger Name Record.
Ce PNR, c’est la clé de voûte du problème. Ce code alphanumérique de six caractères est lié à un fichier dans le système de la compagnie aérienne avec toutes les informations importantes sur votre voyage. Il comprend généralement les noms des passagers, les numéros de vol, les dates et heures, les itinéraires, les informations de siège, les préférences alimentaires, les demandes spéciales, les informations de contact, les informations de paiement, et d’autres informations pertinentes. : une photo de votre carte d’embarquement, c’est potentiellement une fenêtre ouverte sur l’ensemble de votre dossier voyageur.
Selon Adrianus Warmenhoven, expert en cybersécurité de NordVPN, le code-barres peut servir à pêcher d’autres informations personnelles. Il affirme que « même si seul le code-barres de votre billet d’avion est visible sur l’image, les pirates peuvent le scanner et trouver des informations telles que le nom complet d’un voyageur, son numéro de réservation, son dossier passager et parfois même ses coordonnées. »
Des conséquences bien concrètes
La liste des risques va du désagréable au franchement grave. Ces données peuvent être exploitées pour annuler le vol retour d’un voyageur, ou pour voler de l’argent sur sa carte de paiement. En utilisant ces données sur le site de la compagnie aérienne, un pirate peut obtenir des informations sur les vols réservés pour l’avenir, les miles et d’autres données identificatrices. Avec ces informations, il peut modifier des sièges, annuler des vols, voire réinitialiser le compte de la compagnie aérienne.
La date et l’heure du vol indiquent quand vous allez voyager. De plus, quand votre domicile sera probablement vacant, ce qui peut accroître le risque de cambriolage. Un risque moins high-tech, mais redoutablement efficace. Poster sa carte d’embarquement la veille du départ revient à publier un communiqué de presse pour cambrioleurs.
Si des données liées à un programme de fidélité ou à des moyens de paiement sont accessibles, elles peuvent être exploitées pour de la fraude financière. Et les programmes de fidélité constituent une cible de choix : le programme Flying Blue d’Air France-KLM, qui regroupe les clients des deux compagnies mais aussi de Kenya Airways, Aircalin, Transavia et Tarom, a subi un piratage en 2022, les données concernées comprenant les noms, prénoms, numéros Flying Blue, nombre de miles, numéros de téléphone, adresses e-mail et dernières transactions. Un rappel que même les grandes compagnies ne sont pas à l’abri, et que vos miles accumulés pendant des mois peuvent devenir une monnaie d’échange pour des cybercriminels.
Des criminels ont trouvé des moyens sophistiqués d’exploiter les informations des cartes d’embarquement pour mener des attaques de phishing. Le scénario classique : vous recevez un e-mail « de votre compagnie aérienne » mentionnant votre nom, votre numéro de vol et votre destination, tous des éléments lisibles depuis votre code-barres. La confiance s’installe. Vous cliquez. Vous êtes piégé.
Le réflexe qui change tout
La bonne nouvelle, c’est que se protéger ne demande pas de compétences techniques particulières. Le code-barres d’une carte d’embarquement peut facilement être scanné avec des outils gratuits. Si quelqu’un est prêt à chasser des photos sur les réseaux sociaux, de petites obstructions ne l’arrêteront pas, le code-barres ne prend que quelques clics à scanner. Couvrir son nom du pouce sur la photo ne suffit donc pas du tout.
La règle la plus simple reste de ne jamais publier sa carte d’embarquement en photo, même pour célébrer ses vacances imminentes. Pour les cartes papier, deux options fiables : la déchirer en très petits morceaux en s’assurant que le code-barres est rendu illisible, ou utiliser un destructeur de documents. La précaution vaut aussi pour les reçus de bagages et les étiquettes collées sur les valises, qui contiennent eux aussi des données de réservation exploitables.
La meilleure parade reste d’adopter la carte d’embarquement dématérialisée. En l’enregistrant directement sur son smartphone via l’application de la compagnie aérienne ou via un wallet numérique, on supprime le support papier et donc le risque qu’il tombe entre de mauvaises mains. Le code reste protégé par le verrouillage du téléphone, ce qui ajoute une couche de sécurité que le papier n’offrira jamais.
Une fois votre voyage terminé, supprimez la carte d’embarquement de votre téléphone ou de l’application. Cela réduit le risque d’accès non autorisé à d’anciennes cartes qui portent vos informations de voyage passées. Et si les technologies biométriques s’imposent à l’avenir dans les aéroports, elles offriront des alternatives aux cartes d’embarquement traditionnelles, potentiellement moins risquées, mais elles soulèvent à leur tour des questions sur la protection des données biométriques. Une autre bataille, pour plus tard.
Sources : ultimatedroit.fr | moyens.net