Poster son billet d’avion sur les réseaux sociaux peut vous attirer des ennuis
HACKERS – Publier une photo de sa carte d’embarquement sur Internet permettrait à n’importe qui d’accéder à des informations de vols et, le cas échéant, de les modifier. C’est l’inquiétante découverte révélée par des experts en cybersécurité réunis cette semaine en Allemagne.
Ne publiez jamais les photos de vos cartes d’embarquement sur Internet. C’est le cri d’alarme lancé par deux experts en cybersécurité Karsten Nohl et Nemanja Nikodijevic lors de la 33ème réunion annuelle des hackers, le Chaos Communication Congress (CCC), qui s’est tenue le mardi 27 décembre en Allemagne.
Selon ces deux experts, cités par Le Figaro, la carte d’embarquement comporte bien souvent votre code de réservation ainsi que votre nom. Le Graal pour une personne mal intentionnée qui pourra ainsi accéder à votre dossier de réservation et mettre la main sur votre place de vol, votre destination, voire vos coordonnées bancaires. Résultat, il pourra modifier, voire annuler votre vol ou pire, le prendre à votre place, détaille l’étude.
Les chercheurs ont même pu se faire rembourser en point fidélité le vol Munich-Seattle d’une passagère qui avait eu l’imprudence de publier sa carte d’embarquement sur Instagram.
Un système de réservation vétuste
Concrètement, le problème se situe au niveau du système informatique gérant les réservations de billets d’avion (GDS pour Global Distribution Systems) qui serait un nid à failles, permettant d’accéder « en quelques clics » aux données de millions de passagers et même de modifier ces données.
Karsten Nohl et Nemanja Nikodijevic expliquent que les GDS stockent un très grand nombre de données personnelles (adresse, adresse e-mail, numéro de téléphone, numéro de carte de fidélité, et parfois numéro de carte de paiement) réunies au sein des dossiers passagers (ou PNR) et dupliquées dans plusieurs GDS.
« Aucun hacking n’a été nécessaire » pour accéder à ces données, explique Karsten Nohl tout simplement parce que ces systèmes informatiques sont très anciens (années 1960) et peu voire pas du tout protégés ou chiffrés : la clé d’entrée se résume à l’assocoaition nom du passager + code de réservation.
Ainsi, expliquent les experts, en ayant ces deux informations, il serait possible pour les salariés du secteur (compagnies aériennes, sites de voyage…) d’accéder à la globalité des données personnelles d’un voyageur quel que soit son voyage ou la compagnie utilisée.
Plus angoissant, n’importe qui peut finalement accéder aux PNR en ayant seulement le nom passager et le numéro de réservation via les sites Web des compagnies aériennes qui n’associent pas non plus ces données à un mot de passe.
Et pour obtenir ces données, il suffit de se procurer une carte d’embarquement qui, dans certains cas, fait figurer le numéro de réservation (le nom du voyageur est toujours indiqué). Et si le numéro n’apparaît pas en clair, il figure dans le code barre qui lui aussi peut être décrypté très facilement. D’où le risque de photographier et de partager son ticket…
Et ce n’est pas fini. Karsten Nohl a démontré qu’il était possible d’obtenir le numéro de réservation associé à un nom tout simplement en testant toutes les combinaisons. De quoi, modifier le billet, l’annuler etc… Voire de se faire rembourser.
Face à ces menaces, certains spécialistes des GDS comme le leader Amadeus ont d’ores et déjà mis en place des mesures de protection mais qui selon les chercheurs restent encore insuffisantes. Seule la mise en place de mots de passe au niveau de l’édition d’un billet en ligne (et pas seulement la référence billet) pourrait constituer une bonne défense. Mais une telle approche exigerait une refonte plus profonde de ces vieux GDS.
Par La rédaction de ZDNet.fr
