Qui voyage souvent en avion mesure combien les applications mobiles des compagnies aériennes peuvent s'avérer bien pratiques. De la réservation de vols à l'enregistrement en passant par des informations temps réel (portes d'embarquement, retards...) leur utilité n'est plus à prouver. Il en est tout autrement de leur sécurité. Une étude menée par l'éditeur français en sécurité Pradeo (membre d'Hexatrust) sur 50 applications mobiles de compagnies aériennes dans le monde montre en effet que ces dernières sont sujettes à vulnérabilités.
« Il y a beaucoup d'apps permettant de faire le check in en ligne, d'accéder à des informations de passeport, voire de les scanner. C'est un confort pour l'utilisateur mais cela pose des problèmes si ces données ne sont pas stockées et transmises de façon sécurisée », nous a indiqué Vivien Raoul, directeur technique de Pradeo. Le rapport de l'éditeur montre qu’en moyenne, les apps des compagnies aériennes utilisent 14 connexions non sécurisées. Dans l'échantillon audité, une moyenne de 21 vulnérabilités par application a été décelé, sachant que les plus détectées exposent les apps à des attaques par déni de service, fuite de données et d'interception (man-in-the-middle).
La vulnérabilité DSQLite : répandue et dangereurse
Pradeo a réalisé un top 10 des vulnérabilités les plus répandues présentent dans l'échantillon des 50 apps des compagnies, dont 30% sont européennes.
Broadcast activity 98%
DSQLite 94%
Broadcast receiver 92%
SQLC_password 90%
Implicit intent 88%
Broadcast service 86%
d_JSenabled 78%
d_external storage 66%
d_webviewdebug 47%
HandleSslError 16%
A la demande de la rédaction, Pradeo nous a indiqué un classement de ces mêmes vulnérabilités par niveau de dangerosité cette fois. Arrive en tête HandleSslError puis Implicit Intent, suivi par Broadcast activity, Broadcast receiver, Broadcast service et Boradcast storage ainsi que d_external storage, d_webviewdebug, d_JSenabled, SQLC_password et DSQLite. En revanche, aucun palmarès des apps les moins bien sécurisées par compagnies aériennes n'a pu être obtenu...
« Il y a un vrai risque d'interception de données, il faut si possible limiter l'usage des applis à des informations de vol, portes d'embarquements, retard et privilégier un enregistrement depuis un poste que l'on sait sécurisé ou sur un terminal de l'aéroport. Il faut éviter de le faire depuis son mobile surtout connecté au réseau [WiFi] de l'aéroport sans VPN », prévient Vivien Raoul.
Commentaire