Cybersécurité: Air Canada reconnaît une faille de sécurité affectant 20 000 comptes clients

La compagnie aérienne Air Canada reconnaît qu’une faille de sécurité a touché son application mobile entraînant la fuite d’informations d’environ 20 000 clients. Les données de leurs passeports ont pu être volées. Les personnes concernées ont été informées.

Une activité inhabituelle détectée

La compagnie est critiquée pour la faiblesse des mots de passe demandés aux clients. Elle indique avoir adopté des procédures améliorées dans ce cadre.  Les mots de passe doivent être de 10 caractères et contenir au moins un symbole. Air Canada déclare avoir détecté une activité de connexion inhabituelle entre le 22 et le 24 août. La compagnie a alors bloqué l’accès à ses 1,7 millions de comptes clients.

Tous les clients vont devoir définir un nouveau mot de passe afin d’accéder de nouveau à l’application mobile. Les données des cartes bancaires ne seraient pas en danger car elles sont chiffrées. En revanche, les informations telles que le nom, email, adresse postale et numéros de téléphone ont pu être volées. De plus, pour les clients qui avaient entré les informations de leur passeport, celles-ci ont pu être capturées.

Il s’agit du numéro de passeport, le pays d’origine, la date d’expiration,  la nationalité, le pays de résidence, et la date de naissance. A noter que les comptes sur l’application mobile et sur le site Aircanada.com sont distincts. Le compte client sur le site Web n’est pas affecté par la fuite de données sur l’application mobile.

Un cas trop souvent répandu dans les grandes entreprises

Cette facilité d’accès à des données privées n’étonne pas les experts. « Il n’est pas rare pour une grande entreprise d’avoir des milliers de documents sensibles non sécurisés et accessibles à tout le monde dans l’entreprise » pointe l’éditeur de sécurité Varonis.

« A titre d’exemple, nos ingénieurs ont découvert dans un hypermarché français que l’ensemble des numéros de carte de crédit clients étaient accessibles par tous les employés, ou dans un autre cas, le numéro de la carte de crédit personnelle du Directeur Général d’une entreprise de construction était également accessible à tous les salariés de l’entreprise, etc. » conclut-il.