Spoiler alerte : non, c’est pas mon vrai boarding pass sur l’image. Je vous explique justement pourquoi dans les 600 mots qui suivent.
Barajas. Terminal 4. J’ai deux heures devant moi.
Le genre de moment où on commande un café trop cher, on ouvre son téléphone, et l’esprit commence à vagabonder. J’ai regardé mon boarding pass sur l’écran. Ce QR code que j’ai montré dix fois depuis ce matin. Aux bornes, aux agents, dans la file.
Et je me suis demandé : il y a quoi là-dedans, exactement ?
Spoiler : bien plus que votre siège
Un QR code de carte d’embarquement, c’est un format standardisé. Le BCBP, pour Boarding Card Bar Code, défini par l’IATA. Et ce standard est public. Ce qui veut dire que n’importe qui avec un lecteur QR un peu curieux peut décoder votre boarding pass.
Ce qu’on y trouve : votre nom complet, votre numéro de vol, votre aéroport de départ et d’arrivée, votre numéro de siège, votre statut de bagage, votre code de réservation PNR, et souvent votre numéro de programme de fidélité.
Le PNR, c’est le plus sensible. Avec ce code à six caractères et votre nom, n’importe qui peut accéder à votre réservation complète sur le site de la compagnie. Itinéraire, coordonnées, options repas, parfois les quatre derniers chiffres de la carte bancaire utilisée.
Tout ça dans un QR code que vous tenez levé en l’air dans une file d’attente.
La photo du boarding pass sur les réseaux
Vous avez forcément vu ce genre de post. Quelqu’un qui part en vacances, qui poste une photo de son billet avec le QR code visible. Parfois flouté à moitié, parfois pas du tout.
Le QR code flouté à moitié, ça ne sert à rien. Le format BCBP encode les données de manière redondante, un code partiellement visible suffit souvent à le décoder.
Et une fois le PNR récupéré, que fait-on ? On peut consulter la réservation, parfois la modifier, changer le siège, annuler un bagage. Certaines compagnies permettent même de changer les coordonnées de contact depuis l’espace de gestion de réservation, avec juste le PNR et le nom.
Ce n’est pas de la science-fiction. C’est documenté, testé, et régulièrement rappelé par les chercheurs en sécurité.
A l’aéroport, le boarding pass voyage beaucoup
Ce matin j’ai montré mon QR code à une borne automatique, à un agent au contrôle, à un second agent à l’entrée de la zone Schengen, et je vais le montrer encore à l’embarquement.
A chaque fois, quelqu’un ou quelque chose le scanne. Dans la majorité des cas c’est parfaitement légitime. Mais dans une zone bondée, une caméra discrète ou un simple téléphone peut capter ce qui s’affiche sur votre écran sans que vous le remarquiez.
La luminosité est souvent poussée à fond pour que le scan soit rapide. Pratique pour les bornes. Pratique aussi pour quiconque se trouve dans votre champ.
Les bons réflexes, sans devenir parano
Ne postez jamais votre boarding pass sur les réseaux, même flouté. Même après le vol. Le PNR reste actif un moment après l’atterrissage, et les données personnelles associées aussi.
Baissez la luminosité entre deux contrôles. Pas besoin que votre QR code soit visible depuis trois mètres quand vous attendez dans la file.
Après votre voyage, supprimez le billet de votre galerie photo et de votre appli de gestion de voyage si vous n’en avez plus besoin. Un screenshot qui traîne sur un téléphone perdu ou piraté, c’est une réservation accessible.
Activez la double authentification sur votre compte compagnie. Le PNR seul ne suffit plus pour accéder à la réservation si l’accès est protégé. Et si vous voyagez régulièrement, c’est la base.
De retour sur mon café trop cher
L’avion part dans une heure et demie. Mon boarding pass est retourné dans ma poche.
Juste avec un regard légèrement différent sur ce petit carré noir et blanc que je trimballe depuis ce matin sans vraiment y penser.
Ce n’est pas un billet. C’est une clé. Traitez-le comme tel.