Les informations client sont-elles exposées en raison d'une vulnérabilité logicielle ?
La conclusion de l'inspection de l'Autorité de l'aviation civile du Vietnam sur la fuite des informations de sécurité des passagers des trois compagnies aériennes Vietnam Airlines, Vietjet Air et Jetstar Pacific a clairement indiqué que la source de la fuite d'informations était due aux employés de la compagnie aérienne et aux vulnérabilités logicielles, en partie seulement aux agents de billets d'avion.
 |
| Message de bienvenue lorsque le passager vient de descendre de l'avion. |
En réalité, ce phénomène n'est pas nouveau. Les fuites d'informations sur les passagers sont en hausse depuis 2013. L'Autorité de l'aviation civile du Vietnam a également demandé aux compagnies aériennes de les examiner et d'élaborer des plans pour les prévenir, mais les fuites d'informations se poursuivent et ne montrent aucun signe de ralentissement.
Même lorsque le ministère a mis en place en octobre une équipe d'inspection de la sécurité des informations clients dans les compagnies aériennes, ceux qui ont divulgué ou laissé passer ces informations... n'ont toujours pas eu peur et les passagers ont continué à se faire vendre leurs informations.
Mme Thanh Huyen (district de Ba Dinh, Hanoi) a partagé que dans l'après-midi du 6 décembre, après que son vol en provenance de Phu Quoc (Kien Giang) ait atterri à l'aéroport de Noi Bai pendant plus de 5 minutes, son téléphone a redémarré et a reçu un SMS d'une compagnie de taxi opérant à l'aéroport de Noi Bai, proposant un trajet de Noi Bai à Hanoi pour seulement 260 000 VND.
Il est à noter que son billet avait été réservé directement sur le système de billetterie de la compagnie aérienne, et non par l'intermédiaire d'un agent. Outre Mme Huyen, de nombreux autres passagers ont également reçu des SMS les invitant à prendre un taxi à leur arrivée aux aéroports de Noi Bai ou de Cam Ranh (Khanh Hoa).
Pendant ce temps, M. NVC (Hanoï) a partagé qu'il possède une billetterie d'avion, réserve des billets pour les clients en utilisant le numéro de l'agent, et qu'il est lui-même également une « victime » lorsqu'il reçoit continuellement des SMS l'invitant à utiliser les services de taxi.
Selon lui, de nombreuses billetteries ne communiquent leur numéro de téléphone qu'au moment de la réservation pour éviter tout dérangement. Elles reçoivent donc chaque jour d'innombrables messages et appels les invitant à prendre un taxi ou à récupérer une voiture. L'Autorité de l'aviation civile vietnamienne a indiqué que l'équipe d'inspection, voyageant avec des billets gratuits, a également reçu des messages du centre de courtage de taxis.
Principalement par le personnel des compagnies aériennes
Cela montre que les informations sur les passagers des vols ont été divulguées principalement par le personnel des compagnies aériennes, le personnel des guichets ou le personnel des services au sol de l'aéroport.
En outre, selon l'Autorité de l'aviation civile du Vietnam, les agents de billets d'avion peuvent fournir des informations sur les passagers voyageant en avion à des organisations et à des particuliers en dehors des passagers ayant réservé, réservé et vendu des billets par l'agent.
 |
| Les passagers attendent pour s'enregistrer à l'aéroport de Tan Son Nhat. |
Les passagers ciblés par les messages du service de taxi sont sélectifs, se concentrant sur les passagers qui ont réservé, réservé et vendu des billets sur les vols de Vietnam Airlines (généralement, ce groupe de passagers a un revenu plus élevé que les passagers des compagnies aériennes à bas prix et cette compagnie aérienne ne propose pas de services de prise en charge et de dépose à l'aéroport).
Les passagers dont les informations ont été vendues avaient principalement des itinéraires vers les aéroports de Noi Bai, Cam Ranh et Lien Khuong (Lam Dong) - qui sont tous des aéroports éloignés du centre-ville.
Selon l'Autorité de l'aviation civile du Vietnam, les principaux utilisateurs des informations personnelles des passagers sont les centres de courtage de taxi en ligne (similaires à Uber et Grab) créés et exploités par des entreprises vietnamiennes, au lieu des sociétés de transport par taxi elles-mêmes comme avant 2015.
Il est à noter que la fourniture d’informations aux passagers dans ces centres se fait de manière fluide, continue et systématique grâce à des logiciels informatiques.
Risque pour les clients
Selon M. Vo Do Thang, directeur du Centre de cybersécurité d'Athena, la divulgation fréquente et massive d'informations montre qu'elle provient principalement d'employés internes des compagnies aériennes. La divulgation d'informations sur les passagers en vol semble simple à première vue, mais selon M. Thang, les risques potentiels sont nombreux lorsque la liste des clients peut être divulguée à d'autres entreprises.
Non seulement vous êtes dérangé par des SMS et des appels téléphoniques proposant des services de transport, mais votre liste de clients avec des numéros de téléphone ou des e-mails personnels est également un « produit » lucratif qui peut être revendu à des entreprises immobilières, d'assurance et bancaires...
Sans parler, dans le pire des cas, de la divulgation des informations personnelles de ceux qui « réservent » des billets en ligne et paient avec des comptes bancaires via cartes ATM, visa… si elles sont exploitées par des pirates, il y a aussi le risque potentiel de voir leurs comptes piratés.
 |
| De nombreux passagers des compagnies aériennes ont été mécontents lorsque leurs informations ont été divulguées et qu'on leur a proposé des taxis. |
Selon M. Thang, le problème de fuite d'informations sur les clients est principalement dû à des facteurs humains, ce qui prouve que le processus de gestion des ressources humaines des entreprises présente des problèmes.
Pour prévenir la surveillance, la meilleure solution est de surveiller les employés, notamment en leur interdisant d'apporter leurs appareils personnels (USB, téléphone, périphériques de stockage) avant et après le travail. Tout contrevenant sera sévèrement sanctionné, ce qui limitera les fuites d'informations internes.
D’autre part, actuellement, les entreprises qui permettent à leurs employés d’utiliser des outils tels que Viber, Facebook, Zalo… présentent également un risque élevé d’exposition et de fuite lorsque le système de surveillance est trop faible.
« Les fuites et les violations d'informations dans d'autres pays sont rares, en raison d'un contrôle strict qui n'autorise pas les employés à apporter des appareils personnels, travaillant uniquement sur les appareils de l'entreprise et ces appareils ont été équipés d'outils de sécurité, quand quelque chose se produit, il est très facile de retracer qui a divulgué ou violé », a déclaré M. Thang, ajoutant que non seulement dans le secteur de l'aviation mais aussi dans d'autres secteurs nécessitant une sécurité élevée, la supervision des employés est effectuée de très près.
Cet expert estime également que l'absence de sanctions suffisamment sévères en cas de fuite ou de fuite d'informations personnelles facilite la diffusion de ces informations au Vietnam. Dans d'autres pays, lorsque les informations de leurs clients sont divulguées, ils peuvent rassembler des dizaines, voire des centaines de personnes, et engager des avocats pour poursuivre les entreprises. Celles-ci doivent ensuite enquêter et indemniser les clients pour les dommages éventuels.
Pour prévenir efficacement les fuites d’informations, la première chose à faire est de colmater les vulnérabilités des logiciels, mais surtout de mettre en place un mécanisme de surveillance des employés des compagnies aériennes et de prendre des mesures administratives fortes, voire pénales, si des réseaux de vente d’informations sont découverts.
Selon le journal Thanh Nien