(L'article a été modifié pour contenir la déclaration ci-dessous: "À la suite d'un appel avec easyJet qui s'est achevé à 14 h 05 le mercredi 9 décembre, Wandera est heureux de dire que easyJet a confirmé qu'il ne s'agissait plus d'un problème d'actualité." - Eldar Tuvey, PDG et cofondateur de Wandera.)

Une autre faille majeure en matière de sécurité a été découverte. Cette fois, elle concerne des informations financières ainsi que des données personnelles, avec la fuite des informations de carte de crédit lors des achats effectués sur les sites Web et applications mobiles de certaines entreprises..

Wandera a découvert cette vulnérabilité, nommée CardCrypt, et a constaté que des informations de paiement non chiffrées étaient divulguées à partir de smartphones lorsque les utilisateurs effectuaient des transactions via le Web mobile ou lorsqu'ils utilisaient des applications..

Les sociétés concernées comprennent les services Chiltern Railways et Dash Card au Royaume-Uni, et Aer Lingus en Irlande, ainsi qu'Air Canada, AirAsia et American Taxi, pour n'en nommer que quelques-uns (16 entreprises sont concernées au total)..

Les données transmises incluent les détails complets de la carte de crédit (y compris le numéro de sécurité essentiel du numéro CVV au verso dans certains cas), ainsi que les noms et adresses des clients, ainsi que les coordonnées et, bien sûr, les détails des transactions..

Wandera note que les données exactes divulguées varient d'une entreprise à l'autre, en fonction des exigences de l'entreprise vis-à-vis du client pour le traitement de la transaction. Toutefois, dans la quasi-totalité des cas, des données de carte de crédit complètes ont été collectées non cryptées (et des informations de passeport apparemment détaillées ).

Oui, c'est une situation extrêmement préoccupante, en particulier pour les clients de ces 16 entreprises, qui représentent environ un demi-million par jour..

Si vous utilisez l'une des sociétés, vous ne serez probablement pas rassuré d'apprendre que, lors des tests de Wandera, des données complètes de carte de crédit ont été divulguées..

Échec HTTPS

La nature même de cette vulnérabilité est peut-être encore plus préoccupante, car la fuite se produit, car les sites et applications de ces entreprises n'utilisent pas le protocole HTTPS pour chiffrer les données envoyées du téléphone à l'entreprise. Au lieu de cela, les détails financiers sensibles sont simplement transmis via une connexion HTTP standard, les laissant ouverts à l'interception et à une utilisation abusive ultérieure..

HTTPS n'est-il pas une exigence dans de telles transactions? En effet, la norme PCI DSS (normes de sécurité des données de l'industrie des cartes de paiement) stipule que toute information sensible doit être cryptée lors de sa transmission sur des réseaux publics, pour des raisons évidentes..

Eldar Tuvey, PDG de Wandera, a commenté: "Nous pensons qu'il existe deux raisons possibles pour lesquelles HTTPS n'a pas été utilisé. Cela pourrait être une faille dans le codage, ou le fait de pouvoir compter sur des services tiers ou des bibliothèques inadéquats. Quoi qu’il en soit, il est étonnant pour moi que ces sociétés n’aient pas fait suffisamment attention lors de la collecte des données personnelles de leurs clients. "

Il pourrait également y avoir d’autres entreprises touchées par le même problème. Entre-temps, les entreprises susmentionnées ont déjà été informées de ce problème et, espérons-le, prennent des mesures (ou l'ont déjà pris).

  • Le top 10 des violations de données des 12 derniers mois