Malgré la réponse rapide de KLM, la question reste de savoir si la fuite a déjà été exploitée.
Les clients de KLM et d'Air France devraient être choqués car des recherches montrent que leurs données privées, notamment leurs numéros de téléphone, leurs adresses e-mail et parfois les détails de leur passeport, peuvent avoir été accessibles à des personnes non autorisées. Ce problème a été mis en lumière grâce aux recherches menées par le NOS, en collaboration avec le chercheur en sécurité Benjamin Broersma.
La fuite a été découverte dans les hyperliens d’informations de vol envoyés aux clients. Ces liens, composés de seulement six caractères, n'étaient pas suffisamment uniques, permettant à des acteurs malveillants d'accéder avec succès à des informations sensibles à l'aide de scripts automatisés. Les chercheurs ont trouvé plus de 900 liens fonctionnels, dont beaucoup exposaient les données privées des clients.
Cette exposition de données présentait un risque sérieux. Les criminels pourraient potentiellement utiliser ces informations pour créer de faux documents de voyage ou mener des attaques de phishing ciblées. De plus, il était possible de modifier ou de supprimer les informations sur le passeport et le visa. Bien que NOS n’ait pas testé cette solution et que KLM n’ait fait aucune déclaration quant à sa faisabilité, le risque d’abus reste préoccupant.
dissous
KLM a répondu rapidement au rapport NOS et a résolu le problème en quelques heures. Les clients doivent désormais d'abord se connecter à l'environnement My Travel du site Web avant de pouvoir accéder aux informations de vol. Cela a considérablement réduit le risque pour la sécurité. Bien que KLM indique que ses systèmes ont tiré la sonnette d'alarme en raison du grand nombre d'activités suspectes au cours de l'enquête, la question reste ouverte de savoir si la fuite a déjà été exploitée.
La violation de données a été identifiée par NOS et le chercheur en sécurité Benjamin Broersma.
Les experts en matière de confidentialité et les spécialistes de la sécurité soulignent les risques possibles et la nécessité pour les entreprises d'être plus transparentes sur de tels incidents. La violation de données de KLM, qui a également touché la compagnie aérienne sœur Air France, constituait un problème de sécurité important dans lequel les données personnelles des clients étaient accessibles à des personnes non autorisées. Le cœur du problème résidait dans la manière dont KLM fournissait des informations sur les vols à ses clients par SMS, en utilisant des hyperliens de seulement six caractères. Cette longueur limitée rendait les liens prévisibles et donc vulnérables aux attaques de scraping automatisées.
Benjamin Broersma, qui a participé à la découverte, a noté : « Il y avait en fait deux problèmes : les codes étaient trop courts et il y avait trop de codes fonctionnels. » Cela indique une faiblesse fondamentale dans la sécurité de la structure des liens utilisée par KLM. Après le rapport NOS, KLM a réagi rapidement et a résolu le problème en quelques heures. Dans une déclaration écrite, la société a déclaré : « Notre service informatique a immédiatement pris les mesures nécessaires pour résoudre ce problème. » Les clients doivent désormais se connecter à l'environnement My Travel du site KLM ou Air France pour consulter les informations de leurs vols, ce qui a considérablement renforcé la sécurité.
L'expert en sécurité Bert Hubert a commenté la situation : "Six personnages, ce n'est tout simplement pas suffisant, ils auraient pu en faire huit ou neuf." Il a souligné à quel point une petite différence dans la longueur d’un code peut faire une grande différence en matière de sécurité. Malgré la réponse rapide de KLM, la question reste de savoir si la fuite a déjà été exploitée. Jaap-Henk Hoepman, maître de conférences en sécurité informatique à l'université de Radboud, a souligné la possibilité que des parties malveillantes puissent utiliser des méthodes moins visibles pour éviter d'être détectées, comme changer régulièrement d'adresse IP.
