Article original : Updated: Airline websites don’t care about your privacy: a case study on Emirates.com
Par Konark Modi
J'ai demandé à ma femme si cela la dérangeait qu'un inconnu connaisse sa date de naissance. Seulement s'ils m'envoient un cadeau d'anniversaire, a-t-elle plaisanté. Et ton numéro de passeport ? Elle a baissé le livre qu'elle lisait. J'avais maintenant son attention.
Maintenant, imaginez ceci, ai-je dit : « Vous essayez de faire votre enregistrement en ligne pour votre vol et vous voyez le message d'erreur — Cette réservation n'existe pas. Vous essayez à nouveau, cela doit sûrement être une erreur. Non, toujours le même message d'erreur. La personne du centre d'appels répète les mêmes mots. Cela doit être une erreur ! Vous vérifiez votre email, et le voilà — qui vous fixe — la confirmation par email de l'annulation. Mais vous êtes sûr de ne pas l'avoir fait. » Qui l'a fait ?
Ce n'est pas un scénario tirée d'un livre de science-fiction, cela s'est vraiment produit.
Une organisation dont le produit numérique principal manque même des pratiques de base en matière de sécurité des données vit dans un monde utopique où les gens laissent leur coffre-fort ouvert et ne s'attendent jamais à ce qu'un cambrioleur entre.
Dans le cadre de la divulgation complète, il y a quelque temps, lors de la réservation de voyages pour ma famille, je suis tombé sur quelques pratiques de sécurité des données qui, en tant que défenseur de la sécurité des données, m'ont extrêmement inquiété. Lorsque j'ai exprimé mes préoccupations à l'équipe d'Emirates, cette conversation a eu lieu -
Pour un profane, lorsque vous réservez votre vol via Emirates, national ou international, il y a environ 300 points de données liés à votre réservation.
Dès que vous cliquez sur gérer les préférences pour sélectionner un siège ou un repas pour votre voyage ou pour vous enregistrer à votre vol, votre identifiant de réservation et votre nom de famille sont transmis à environ 14 différents trackers tiers comme Crazy Egg, Boxever, Coremetrics, Google et Facebook, parmi d'autres.
Détails
Après avoir terminé la réservation sur Emirates, j'ai reçu un email de confirmation intitulé : Confirmation de réservation — Numéro de réservation.
Le corps de l'email contenait Gérer la réservation. J'ai procédé à la sélection des sièges et des repas en cliquant sur le bouton Gérer la réservation et j'ai atteint la page Gérer les préférences. Cela était assez simple.
Alors qu'en tant qu'utilisateur, j'ai vu le comportement normal de cliquer sur un lien et d'atteindre la page de destination « Gérer les préférences », en arrière-plan, une chaîne de redirection a eu lieu.
Alors que le lien Gérer la réservation était censé être exclusif à moi (l'utilisateur et le site web), ce lien a également été partagé avec de nombreux trackers tiers mis en œuvre par Emirates sur leurs pages web.
La cerise sur le gâteau était le lien HTTP qui mène à la page Gérer les préférences. L'insécurité de HTTP a été discutée maintes et maintes fois, surtout lorsqu'il s'agit de maintenir l'authenticité du contenu et la protection contre les intrus. Mais en bref, les liens HTTP sont un cauchemar pour la confidentialité des données. Ainsi, non seulement Emirates transmettait les informations des utilisateurs aux trackers tiers auto-implantés, mais permettait également aux adversaires du réseau d'avoir accès à la page supposément « privée ».
Quelles informations les tiers peuvent-ils accéder ?
Les liens mentionnés en (1) et (2) sont actuellement envoyés aux tiers.
Les champs suivants prennent l'URL, ce qui donne accès aux détails de la réservation.
dr utilisée par Google Analytics.
Toute personne ayant accès à ces liens peut non seulement lire mais aussi modifier les informations que je peux en tant qu'utilisateur.
Par exemple, ils peuvent maintenant -
- Changer ou annuler le vol
- Changer la préférence de siège ou de repas
- Ajouter plus de produits à la réservation
- Changer ou ajouter les informations de passeport
- Changer ou ajouter les informations du programme de fidélité, etc.
Exemple d'informations personnelles modifiables sur cette page :
a. Nom complet :
b. Numéro Skywards
c. Adresse e-mail / Numéro de téléphone :
d. Montant payé, détail des frais.
e. Détails du passeport, Nationalité, Date de naissance, Genre
Note : En octobre 2017, des champs tels que le numéro de passeport, l'adresse e-mail et le numéro de téléphone étaient masqués sur l'interface utilisateur mais n'étaient pas obfusqués dans le code source. L'application web a été révisée depuis et ces champs sont maintenant obfusqués.
J'ai décidé de jeter un coup d'œil à l'application mobile et de voir si le passé rattrape le présent, et le voilà dans toute sa gloire — Numéro de passeport, adresse e-mail et numéro de téléphone en texte brut. Ce qui était obfusqué sur l'application web était facile d'accès sur l'application mobile.
Maintenant, qu'est-ce qui ne va pas avec cela ?
Ce problème n'est pas limité à Emirates, de nombreuses compagnies aériennes comme Lufthansa, KLM (vérifié en octobre 2017) souffrent des mêmes problèmes.
Chaque site web utilise des trackers tiers pour améliorer leur produit et offrir une meilleure expérience d'utilisation du web. Les fuites de données sont souvent considérées comme des dommages collatéraux et parfois même pas considérées du tout lors de la mise en œuvre de tels trackers.
La plupart de ces tiers sont présents sur de nombreux autres sites web et utilisent des identifiants à long terme comme les cookies pour suivre les utilisateurs à travers les domaines. Maintenant, parce qu'un des sites web, dans ce cas Emirates, fuit des informations privées, ces entreprises peuvent maintenant potentiellement non seulement lier l'activité de l'utilisateur à travers le web, mais aussi identifier qui est l'utilisateur.
Les questions qui nécessitent des réponses de la part d'Emirates (et d'autres) sont -
- Pourquoi mes informations de réservation ont-elles été transmises à ces tiers sans mon consentement explicite.
- Pourquoi ces tiers doivent-ils recevoir ces informations ?
- Emirates est-il même conscient que des informations sensibles des utilisateurs sont divulguées à ces tiers ?
- Qui sont ces tiers ?
- Que font-ils avec les informations des utilisateurs ?
Signalement à Emirates
Dans le cadre d'un comportement responsable, après avoir découvert ces graves failles de sécurité qui violent la confidentialité des données des utilisateurs, j'ai décidé de les signaler à Emirates via un message direct sur Twitter en octobre 2017. Veuillez noter que je n'ai pas pu trouver de canal dédié pour signaler les bugs de sécurité sur le site web d'Emirates.
L'équipe des médias sociaux a immédiatement répondu à mon message direct sur Twitter avec une réponse standard, mais je n'étais pas prêt à abandonner. J'ai également écrit un email au chef de produit en soulignant les failles de sécurité. J'ai été accueilli par un silence assourdissant.
À ce jour (2018-03-03), beaucoup de ces problèmes persistent.
Cela constitue une grave violation de la vie privée, il n'y a aucun moment pendant le processus de réservation où j'ai accepté de partager l'une de ces informations personnelles avec l'un de ces sites web.
La politique de confidentialité d'Emirates elle-même n'est pas très claire. Elle mentionne certains de ces services, mais pas tous ou les données partagées avec eux.
Puis-je ne pas me désinscrire ?
Ce n'est pas une option. Malheureusement, je n'ai pas trouvé de moyen de me désinscrire de ce système fourni par Emirates. J'ai finalement dû recourir à l'utilisation d'extensions de navigateur préservant la vie privée.
Emirates ne peut-il pas corriger cela ?
En tant qu'ingénieur logiciel ayant travaillé pour certaines des plus grandes entreprises de commerce électronique, je comprends le besoin d'utiliser des services tiers pour optimiser et améliorer non seulement le produit numérique mais aussi la manière dont l'utilisateur interagit avec le produit.
Ce n'est pas l'utilisation de services tiers qui est préoccupante dans ce cas, mais la mise en œuvre de ces services. Emirates a le contrôle de son site web et de ce que le site web partage avec les services tiers. C'est ce contrôle qui doit être exercé pour limiter la fuite d'informations des utilisateurs.
Ce n'est pas une tâche colossale, c'est simplement une question d'engagement à préserver le droit fondamental à la vie privée.
Par exemple :
- Les pages privées doivent avoir des balises meta noindex.
- Limiter la présence de services tiers sur les pages privées.
- Referrer-Policy sur les pages avec des données sensibles.
- Mettre en œuvre CSP et SRI. Même avec une grande empreinte de services tiers, CSP, SRI ne sont pas activés sur Emirates.com
- L'utilisateur doit être informé lorsque des informations sensibles comme le passeport, les coordonnées, etc., sont mises à jour, modifiées ou supprimées.
- Domaine pour l'envoi d'e-mails : track.emirates.email, doit avoir un certificat valide. https://track.emirates.email/
Si vous êtes intéressé à en savoir plus sur la présence de trackers sur vos sites web préférés, je vous recommande vivement de consulter WhoTracksMe.
Mises à jour:
- 6 mars 2018:
Emirates a répondu avec une déclaration standard.
Extrait : « La représentation dans l'article de M. Modi quant aux données partagées, ou au choix du client de « se désinscrire » est inexacte. »
Voici ma réponse : Fuites de confidentialité aller-retour : Emirates.com dans le déni
Bon piratage !
Merci d'avoir lu et partagé ! :)
Si vous avez aimé cette histoire, n'hésitez pas à ??? quelques fois (Jusqu'à 50 fois. Sérieusement).
_Crédits : Un merci spécial à Remi, Pallavi pour avoir relu l'article._