À cause d’une faille de sécurité, des données de cartes de crédit se sont retrouvées exposées, donc potentiellement accessibles à des personnes malveillantes. Cela concerne 16 entreprises, notamment la compagnie aérienne EasyJet.
La faille de sécurité baptisée CardCrypt a été découverte par la société Wandera. À cause d’elle, des données de cartes de crédit de clients ont été envoyées par smartphones, via des sites mobiles, sans être cryptées.
Potentiellement, cette vulnérabilité peut permettre à une personne malveillante d’intercepter ces données, qui sont en clair, au moment de leur envoi vers les serveurs d’entreprise.
Wandera estime que ce sont quelque 500 000 personnes qui peuvent être concernées par cette faille. Il s’agit de toutes les personnes qui ont acheté des billets d’avion chez EasyJet, AirAsia, Aer Lingus, Air Canada, ou une entrée pour le Zoo de San Diego. En fait, la société inique que 16 entreprises sont concernées par cette vulnérabilité CreditCrypt.
Il est précisé que des données sensibles sont envoyées d’une manière non chiffrée. Cela comprend tous les détails de la carte de crédit, y compris les codes de sécurité, le nom du client, son adresse complète, le montant de la transaction. Selon le fournisseur, les données transmises varient.
Si des données de carte de crédit ont été exposées à cause de la faille CreditCrypt, c’est parce que les entreprises n’ont pas utilisé le protocole sécurisé HTTPS pour les transmissions. Eldar Tuvey, CEO de Wandera, explique : « Nous pensons qu’il y a deux raisons probables pour expliquer pourquoi HTTPS n’a pas été utilisé. Cela pourrait être une faille dans le codage ou de la confiance accordée à des services tiers inadéquats. Quoi qu’il en soit, c’est incroyable que ces sociétés n’aient pas fait preuve de diligence suffisante dans la collecte de données personnelles de leurs clients. »
Alors que cette faille est potentiellement grave, rien n’indique qu’elle ait été exploitée par une personne malveillante à ce jour. Toutes les entreprises concernées ont été averties du problème, mais ils n’ont pour le moment pas encore commenté le problème.