Amadeus : une faille de sécurité divulgue les données de 15 millions d’Israéliens… dont des membres du gouvernement

Un pirate a réussi à avoir accès aux destinations de plusieurs vols de Benyamin Netanyahou, Premier Ministre israélien. Pour Amadeus, il s'agit d'une vulnérabilité d'un des systèmes qui a désormais été résolue.

Selon le média israélien Calcalist, Amadeus a été victime d'une faille de sécurité qui a entraîné la divulgation d’informations détaillées sur les voyages de plusieurs millions d'Israéliens et notamment des hauts responsables et politiciens. Une violation du système de sécurité qui concerne notamment la destination des vols, les horaires, les demandes de visas ou bien encore les hôtels. Au total, cela concernerait plus de 15 millions de personnes. Pour rappel, en février dernier, des agences du groupe Selectour avait également subi un piratage via Amadeus.

Parmi la liste des victimes, le Premier Ministre, Benyamin Netanyahou, ainsi que sa famille. L'affaire révélée par le site alp.co est totalement passée inaperçue en France et en Europe.

De son côté, Amadeus a déclaré avoir été informé de cette faille le 20 mai. "Nos équipes de sécurité ont immédiatement pris des mesures pour résoudre le problème de configuration désormais corrigé", nous ont-ils répondu.

"La faille de configuration, qui permettait un accès non autorisé à des informations utilisées dans un programme de fidélisation d’agences de voyages, et qui n’était pas liée aux réservations et à la billetterie, a été découverte par un chercheur en sécurité. L'accès était limité au système en Israël et nous ne pensons pas que les données relatives aux autres marchés aient été affectées. Une analyse détaillée de l'incident est en cours, mais rien n'indique que les données ont été consultées par une personne autre que le chercheur en sécurité qui a communiqué ses conclusions aux autorités israéliennes", ont-ils ajouté.

Le hacker, qui a souhaité rester anonyme, a quant à lui déclaré que le système reçoit des rapports de chaque vol et hôtel vendus par les agences de voyages, sur et hors réseau, et enregistre les données dans une base de données mySQL contenant des données datant d'il y a 15 ans. "Malheureusement, la base de données utilise non seulement le système comptable, mais ses opérateurs utilisent également le même serveur pour les pages d'images dont le niveau de sécurité est scandaleux, et l'un était obsolète d'il y a plus de dix ans, toujours accessible, permettant ainsi à l'injection SQL d'accéder à l'ensemble de la base de données", conclut-il.