Pour des millions de voyageurs, imprimer sa carte d’embarquement ne représente qu’une partie de la routine avant le vol, entre le moment où ils font l’enregistrement sur le vol et celui où ils se dirigent vers l’aéroport. Cette carte d’embarquement constitue votre billet d’entrée à la sécurité de l’aéroport et à la porte d’embarquement ; vous la gardez donc bien sur vous jusqu’à ce que vous soyez dans l’avion. Mais que faites-vous de ce bout de papier après le décollage ?

Est-ce que vous l’utilisez comme marque-page du magazine de bord de la compagnie aérienne ? Vous le glissez dans la pochette du dossier ? Vous le gardez puis vous le jetez dans la corbeille à papier de votre chambre d’hôtel ? Ou, pire encore, vous prenez une photo de votre carte d’embarquement pour la partager sur les réseaux sociaux ?


N’importe lequel de ces gestes pourrait être un cadeau pour les hackers, selon les experts en cybersécurité. À une époque où la confidentialité des données numériques est une préoccupation majeure, les voyageurs peuvent penser qu’un bon vieux papier est une valeur sûre. Toutefois, les cartes d’embarquement en papier qui ne sont pas protégées permettent aux pirates informatiques de cibler plus facilement les points de fidélité (en kilomètres) de grands voyageurs, accumulés depuis des années.

« Si vous regardez une carte d’embarquement avec les yeux d’un escroc, c’est vraiment une mine d’informations de tout ce dont vous avez besoin pour pirater un compte de grand voyageur », déclare Charles Henderson, associé directeur mondial et responsable de X-Force Red chez IBM Security.

Caleb Barlow, président et chef de la direction de CynergisTek, une société de conseil en cybersécurité, explique que pirater un compte de voyageur fréquent ne demande pas beaucoup de compétences. « Tout ce dont vous avez besoin, c’est votre nom, votre numéro de référence de réservation et votre numéro de grand voyageur. Ces trois choses sont sur la carte d’embarquement », dit-il. « Il peut y avoir quelques questions basiques sur la réinitialisation du mot de passe – mais je peux facilement obtenir les réponses à ces questions simplement en regardant sur le Web. Et si maintenant j’ai accès à votre compte de grand voyageur… ».

Une nouvelle forme de monnaie

« En matière de cybercriminalité, l’industrie du voyage est maintenant la deuxième industrie la plus attaquée, juste derrière les services financiers », affirme Barlow. « Et c’est en grande partie parce que les ‘méchants’ ont compris la valeur des points de fidélité ».

Pour les hackers, les points de fidélité en kilomètres des grands voyageurs ne sont qu’une autre devise parmi d’autres. Dans un rapport publié l’année dernière, le site technologique Comparitech expliquait en détail comment les rédacteurs du site avaient exploré le dark web en recherchant des sites proposant des kilomètres et points de fidélité illicites. Par exemple, un site appelé Dream Market, fixait un prix moyen de 884 dollars pour 100 000 miles aériens, pour de nombreuses grandes compagnies.

C’est une affaire d’acheteur. Le site des finances personnelles, NerdWallet, estime que les points United MileagePlus valent environ un centime chacun en termes de pouvoir d’achat, ce qui signifie que 100 000 points valent 1 000 dollars. Et les points attribués pour d’autres compagnies historiques sont beaucoup plus importants. Les miles Delta SkyMiles et American AAdvantage ont une valeur moyenne de 1,7 et 2,6 cents chacun, ce qui signifie que 100 000 points ont un pouvoir d’achat égal à 1 700 et 2 600 dollars, respectivement.

Une fois qu’un hacker a repris un compte de grand voyageur, il a deux options, explique le rapport Comparitech : « Vendre le compte piraté ou transférer les points sur un autre compte. L’achat d’un compte piraté est assez simple, plus courant et, à notre avis, moins cher. Une inscription typique sur le dark web offre les informations de connexion nécessaires. Il incombe ensuite à l’acheteur de transférer les points de fidélité sur son propre compte ou d’utiliser les récompenses directement ».

Le stratagème fonctionne parce que les malfaiteurs peuvent compter sur un certain nombre de choses, dit Barlow. « Premièrement, il est relativement facile de trouver comment accéder à votre compte de grand voyageur. Deuxièmement, vous ne surveillez probablement pas vos points de fidélité comme vous le feriez pour votre compte bancaire. Et troisièmement, il est relativement facile d’utiliser vos points de fidélité d’une manière qui peut être très difficile à retracer », déclare-t-il. « C’est facile de transformer des points en cartes-cadeaux ou en voyages et bien d’autres choses qui peuvent être utilisées immédiatement ou vendues ».

Ce qu’il faut retenir : « Vous devriez considérer votre numéro de grand voyageur comme une carte de crédit ou un solde bancaire », dit Barlow. « Jetteriez-vous négligemment un morceau de papier avec votre numéro de carte de crédit et votre nom dessus ? Bien sûr que non ».

Ne rien montrer ou dire

Quoi de plus risqué qu’une carte d’embarquement imprimée ? Prendre une photo de votre carte d’embarquement et l’afficher sur les réseaux sociaux.

Sur Instagram, le hashtag #boardingpass comprend actuellement plus de 116 000 photos, dont beaucoup affichent une carte d’embarquement complète avec précisément les informations dont un hacker aurait besoin.

C’est une pratique vraiment stupide, dit Henderson. « Si vous imprimez une carte d’embarquement et que quelqu’un la récupère, une seule personne aura vos coordonnées. Mais lorsque vous la mettez sur les médias sociaux, ce sont alors des milliers de personnes qui ont vos coordonnées ».

« Et si vous mettez un hashtag qui indique que c’est une carte d’embarquement, vous facilitez encore plus la tâche des escrocs », déclare Henderson. « Mais le message ici n’est pas ‘ne mettez pas de hashtag sur vos photos de carte d’embarquement’. C’est plutôt : ‘avant toute chose, ne prenez pas de photos de votre carte d’embarquement’ ».

Deux façons simples de protéger les points de fidélité en kilomètres

Il se trouve que les voyageurs disposent de moyens simples pour protéger leurs points de fidélité. « Activez l’authentification à deux facteurs sur votre compte de grand voyageur », déclare Barlow. La double authentification (2FA) renforce la sécurité de connexion en exigeant une deuxième information – généralement un code de sécurité temporaire transmis à votre téléphone portable – afin d’accéder à votre compte ou de changer un mot de passe.

« Et je recommanderais absolument d’utiliser la carte d’embarquement mobile sur l’application de la compagnie aérienne », déclare Henderson. « Les cartes d’embarquement en papier sont naturellement peu sûres. Il y a une raison pour laquelle on a retiré les numéros de carte de crédit des reçus ».