Ce site a bien failli offrir des vols et hôtels de luxe gratuits à vie aux pirates

En examinant la plate-forme Points.com, qui gère les programmes de fidélité de plusieurs compagnies aériennes et hôtels de luxe, des chercheurs en cybersécurité ont découvert des failles qui auraient permis de profiter de billets d'avion et de nuits d'hôtels gratuitement.

aeroport piratage
Crédits : 123RF

Qui a dit que le piratage servait uniquement à infiltrer des gouvernements ? Ou à récupérer illégalement des livres électroniques et des jeux vidéo ? Les hackers ont peut-être juste envie de voyager et séjourner dans des hôtels confortables après tout. Sauf qu'ils ont manqué l'occasion. Des chercheurs en cybersécurité, Ian Carroll, Shubham Shah, et Sam Curry, ont découvert des failles de sécurité importantes permettant de détourner les programmes de fidélité des compagnies aériennes et des hôtels.

On parle des fameux “miles”, ces points qu'on accumule au fil de nos trajets en avion et qui se transforment au bout d'un moment en billet gratuit. Même chose pour les nuits d'hôtels. Pour Sam Curry, la surprise venait “du fait qu'il y ait une entité centrale pour les programmes de fidélité, que presque toutes les grandes marques du monde utilisent”. En effet, la plate-forme Points.com gère le système fidélité de nombreuses compagnies aériennes et groupes hôteliers : Air France, KLM, Emirates, Hilton, Lufthansa… La liste est longue.

Des pirates auraient pu profiter de voyages en avion et de nuits d'hôtels gratuitement

En fouillant la structure de la plate-forme, les chercheurs ont découvert une vulnérabilité permettant à un hacker de récupérer toutes les données d'un compte client (identité, mails, adresse…). En exploitant un autre bug, le pirate pouvait créer un jeton d'identification avec juste le nom de famille et le nombre de points fidélité, accéder au compte et siphonner ses points. Pire : l'équipe a remarqué que Points.com attribuait à chaque utilisateur un cookie chiffré (ce qui est normal), mais que la clé pour le déchiffrer était le mot… “secret”. On a vu pire comme mot de passe, mais on a vu mieux.

Alertée, l'entreprise gérant le site Web a rapidement corrigé l'ensemble des failles relevées. Après examen, elle affirme également qu'elles n'ont pas été exploitées. Leur correction a été vérifiée et validée par les chercheurs eux-même et d'autres experts en cybersécurité. Pas d'inquiétude à avoir si vous profitez du programme de fidélité, vos points sont protégés.


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Plus de 100 Mo pour une photo ? La caméra du Xiaomi 17 Max s’annonce très gourmande en stockage

Le capteur photo de 200 MP du Xiaomi 17 Max produirait des fichiers supérieurs à 100 Mo pour un seul cliché. De quoi mettre à l’épreuve l’espace de stockage du…

Gmail réduit l’espace de stockage gratuit de 15 à 5 Go si vous ne respectez pas cette condition

Google offre depuis bien longtemps 15 Go d’espace de stockage à ses utilisateurs pour leur compte Gmail. Mais l’entreprise se montrerait moins généreuse récemment, à moins de lui donner votre…

Instagram lance Instants, pour des photos spontanées et sans filtre à la BeReal

Instagram lance à la fois une nouvelle fonction intégrée à son app principale et une application dédiée pour Instants, sa fonctionnalité de partage de photos spontanées et sans filtre. Il…

Test RedMagic 11 Air : une puissance démesurée… et c’est tout ?

Après le RedMagic 11 Pro, ZTE dévoile le RedMagic 11 Air. Doté d’une plate-forme très performante et de quasiment tous les atours attendus dans un smartphone gaming, il est proposé…

Ce nouveau mode de WhatsApp permet de chatter avec l’IA sans que Meta ne voie quoi que ce soit

Discuter avec une IA sans laisser de trace, c’est désormais possible sur WhatsApp. La messagerie lance un mode incognito pour Meta AI, bâti sur une technologie qui chiffre tout avant…

On y est, l’IA commence à nous suggérer des actions sans qu’on ne lui demande rien sur Android

Google a commencé à déployer ses suggestions contextuelles basées sur l’IA sur Android, qui prennent en compte le contexte et ce qui est affiché à l’écran pour proposer des actions…

Voici comment les salariés d’Amazon trichent sur leurs stats IA pour échapper aux objectifs imposés par la direction

Amazon veut que ses développeurs utilisent l’IA chaque semaine, et le surveille de près. Certains salariés ont trouvé une parade inattendue pour gonfler leurs statistiques sans vraiment travailler autrement. Cette…

IA

Passer d’un iPhone à un smartphone Android n’a jamais été aussi simple

Le transfert de données entre iOS et Android s’améliore encore, permettant de faciliter la transition d’un iPhone vers un smartphone Android. Google n’a pas chômé pour son Android Show et…

Voici la liste des smartphones Android qui vont devenir compatibles avec AirDrop

De nouveaux modèles de smartphones Android vont prendre en charge l’interopérabilité entre Quick Share et AirDrop, voici la liste complète. Lors de son Android Show, Google a annoncé qu’un plus…

Ces particules venues de l’espace frappent la Terre avec une puissance qui défie toute explication depuis 60 ans

Des particules venues du cosmos frappent la Terre avec une puissance qui défie toute explication. Ce phénomène intrigue les physiciens depuis plus de soixante ans. Une nouvelle étude propose enfin…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.