Ce site a bien failli offrir des vols et hôtels de luxe gratuits à vie aux pirates

En examinant la plate-forme Points.com, qui gère les programmes de fidélité de plusieurs compagnies aériennes et hôtels de luxe, des chercheurs en cybersécurité ont découvert des failles qui auraient permis de profiter de billets d'avion et de nuits d'hôtels gratuitement.

aeroport piratage
Crédits : 123RF

Qui a dit que le piratage servait uniquement à infiltrer des gouvernements ? Ou à récupérer illégalement des livres électroniques et des jeux vidéo ? Les hackers ont peut-être juste envie de voyager et séjourner dans des hôtels confortables après tout. Sauf qu'ils ont manqué l'occasion. Des chercheurs en cybersécurité, Ian Carroll, Shubham Shah, et Sam Curry, ont découvert des failles de sécurité importantes permettant de détourner les programmes de fidélité des compagnies aériennes et des hôtels.

On parle des fameux “miles”, ces points qu'on accumule au fil de nos trajets en avion et qui se transforment au bout d'un moment en billet gratuit. Même chose pour les nuits d'hôtels. Pour Sam Curry, la surprise venait “du fait qu'il y ait une entité centrale pour les programmes de fidélité, que presque toutes les grandes marques du monde utilisent”. En effet, la plate-forme Points.com gère le système fidélité de nombreuses compagnies aériennes et groupes hôteliers : Air France, KLM, Emirates, Hilton, Lufthansa… La liste est longue.

Des pirates auraient pu profiter de voyages en avion et de nuits d'hôtels gratuitement

En fouillant la structure de la plate-forme, les chercheurs ont découvert une vulnérabilité permettant à un hacker de récupérer toutes les données d'un compte client (identité, mails, adresse…). En exploitant un autre bug, le pirate pouvait créer un jeton d'identification avec juste le nom de famille et le nombre de points fidélité, accéder au compte et siphonner ses points. Pire : l'équipe a remarqué que Points.com attribuait à chaque utilisateur un cookie chiffré (ce qui est normal), mais que la clé pour le déchiffrer était le mot… “secret”. On a vu pire comme mot de passe, mais on a vu mieux.

Alertée, l'entreprise gérant le site Web a rapidement corrigé l'ensemble des failles relevées. Après examen, elle affirme également qu'elles n'ont pas été exploitées. Leur correction a été vérifiée et validée par les chercheurs eux-même et d'autres experts en cybersécurité. Pas d'inquiétude à avoir si vous profitez du programme de fidélité, vos points sont protégés.


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

AliExpress dévoile une avalanche de promotions avec de nouveaux codes, les prix cassés sont au rendez-vous

Les opérations promotionnelles reprennent chez AliExpress. En parallèle des soldes, la plateforme casse le prix de nombreux produits high-tech avec des remises immédiates auxquelles s’ajoutent des codes promo cumulables. Smartphones,…

Nouveautés Netflix juillet 2026 : les séries et films à regarder

Chaque mois nous vous proposons de faire le point sur les séries et films proposés par Netflix. Nouveautés, documentaires, nous vous proposons également un top 3 des séries et des films à suivre. Prêts ? Bingez !

Spider-Man Brand New Day : histoire, casting, date de sortie, tout ce qu’on sait sur le prochain Marvel avec Tom Holland

Tom Holland revient en 2026 dans la peau de l’Homme-Araignée pour une nouvelle aventure. Date de sortie, casting, scénario, on vous dit ce qu’il faut savoir sur Spider-Man Brand New…

Test JBL Live Flex 4 : la nouvelle alternative séduisante aux Galaxy Buds4 et aux AirPods 4

Alors que Samsung et Apple misent sur des écouteurs semi-ouverts aux fonctions exclusives à leur écosystème maison, JBL vient proposer une alternative plutôt séduisante : les JBL Live Flex 4.  Conçus…

Crise de la RAM : une plainte collective accuse les fabricants de mémoire d’avoir délibérément fait exploser les prix

Trop, c’est trop : face à la montée sans précédent des prix de la mémoire, un groupe de consommateurs et de professionnels ont décidé de s’allier pour porter plainte contre…

Xiaomi préparerait une supercar électrique, les photos de ce coupé camouflé à l’aileron géant ne mentent pas

Une Xiaomi inconnue vient d’être surprise en plein test sur une autoroute chinoise. Son camouflage intégral et son aileron démesuré trahissent une supercar électrique hors norme. Jamais la marque ne…

On connait la date de lancement de l’iPhone 18 Pro et de l’iPhone pliable

La traditionnelle keynote de rentrée d’Apple est datée. L’événement sera particulier cette année. L’iPhone 18 y sera absent, seuls les modèles Pro seront présentés. Et pour la première fois, un…

Une recharge sans fil 50 W universelle sera bientôt disponible pour tous les smartphones

La norme Qi devrait prochainement évoluer pour offrir une solution de recharge sans fil universelle d’une puissance atteignant les 50 W. Xiaomi serait particulièrement impliqué dans sa conception. La recharge…

Soldes Dreame H12 Pro Ultra : l’aspirateur laveur de sol est de retour à petit prix, c’est l’indispensable du ménage !

Le ménage est une corvée dont on se passerait bien. Pour vous faciliter la tâche, le Dreame H12 Pro Ultra vous offre un nettoyage optimal en un seul passage. Et…

Xiaomi 18 : la fiche technique se précise, la batterie s’améliore

On commence à avoir une bonne idée de ce que va proposer le Xiaomi 18 en termes de caractéristiques techniques. La capacité de la batterie devrait être légèrement revue à…