Une entreprise de sécurité informatique montpelliéraine a réalisé une étude sur les données sensibles partagées par 50 applications de compagnies aériennes. La plupart présentent des vulnérabilités importantes.
Voici un nouveau caillou dans la chaussure des compagnies aériennes alors que le Règlement général sur la protection des données (RGPD) est en application depuis un an. 50 applications de transporteurs parmi lesquels « les plus utilisés au niveau mondial » ont été auditées par Pradéo, une société originaire de Montpellier spécialiste de la sécurité informatique. Et les conclusions ne sont pas réjouissantes.
« C’est assez préoccupant quand on trouve des problèmes dans les applications où ces données critiques ne sont pas stockées de manière sécurisée, ou, encore pire, transmises par des canaux non sécurisés », a déclaré à l’AFP Vivien Raoul, le directeur technique de Pradéo. Parmi ces données sensibles, on retrouve le numéro ou la photographie du passeport, la géolocalisation, les destinations de voyage… « Ce ne sont pas des choses qu’on n’a pas l’habitude de voir sur les applications qu’on audite mais ce qui est le plus problématique, c’est de les trouver sur des applications qui manipulent des données plus sensibles », explique Vivien Raoul.
Toute violation importante des données à déclarer sous 72h
« Si vous partagez la photo de votre passeport, cela peut potentiellement être intercepté, d’autant plus facilement si vous vous connectez à un réseau ouvert, comme le wifi d’un aéroport par exemple. » Depuis l’entrée en vigueur du RGPD en mai 2018, les processus de collecte, traitement et stockage des données personnelles (nom, adresse, copie du passeport, numéro de carte bancaire…) des citoyens européens doivent être analysés pour minimiser les risques. Cette obligation vaut également en cas de recours à des prestataires que ce soit pour la collecte, le traitement et/ou le stockage de ces données.
Si, malgré cet audit et la prise de mesures sécurisant les données (comme leur cryptage), une entreprise qui manipule des données de citoyens européens constate une « violation importante » (une interception des données, par exemple), elle doit en informer l’autorité de contrôle nationale dans les 72 heures après en avoir pris connaissance. En cas d’interception, l’utilisateur s’expose en effet à une usurpation d’identité ou à voir ses données personnelles revendues ou diffusées. Alors briefez bien vos clients avant leur départ : ces applications doivent être utilisées dans un but informatif ou pour stocker sa carte d’embarquement. En attendant des applications plus rigoureuses en matière de protection des données.