au sommaire
Article paru le 3 janvier 2017
Chaque année, des millions de voyageurs effectuent des réservations pour prendre l’avion. Les informations liées à un billet sont stockées dans des bases de données dont se servent les agences de voyages, les compagnies aériennes, les hôtels, les loueurs de voituresvoitures... Appelées Global Distribution Systems (GDS), elles contiennent ce que l'on appelle le Passenger Name Records (PNRPNR) le fichier sur les passagers aériens dans lequel figurent des données relatives à une réservation : noms, dates et horaires du voyage, destinations et détails de l'itinéraire, numéro de téléphone, de carte de crédit, de passeport, de siège et de bagages.
Des données très sensibles que l'on imagine être ultra protégées... Or, il n'en est rien. Deux experts en sécurité informatique ont récemment dévoilé leurs travaux démontrant la vulnérabilité des GDS et la facilité déconcertante avec laquelle un cyberpirate peut exploiter les failles du système pour au choix annuler ou modifier une réservation, se faire rembourser un billet, faire créditer des points sur une carte de fidélité ou usurper une identité.
Utiliser les photos des billets d’avion publiées sur les réseaux sociaux
Nemanja Nikodijevic et Karsten Nohl, un chercheur allemand en sécurité, fondateur du cabinet Security Research Labs, qui s'est déjà illustré avec ses travaux sur la sécurité des cartes Sim, ont tous deux présenté leur étude lors de la dernière assemblée du Chaos Communication Congress qui réunit chaque année la fine fleur des hackers et spécialistes des questions de sécurité. Ils expliquent que le problème vient du fait qu'il existe de multiples points d'accès aux GDS, qu'il s'agisse des sites web des compagnies aériennes, des agences de voyages ou encore des planificateurs de voyage tels que CheckMyTrip.
En outre, la consultation de ces données ne requiert que peu d'informations. Dans certains cas le nom de famille et le numéro de réservation suffisent pour consulter la réservation d'un voyageur. Deux clés que l'on trouve aisément puisqu'elles figurent sur les billets d'avion et les étiquettes des bagages. Nemanja Nikodijevic et Karsten Nohl expliquent notamment avoir constaté que de nombreux voyageurs livrent sans le savoir ces informations en s'amusant à publier des photos de leurs billets d'avion sur les réseaux sociauxréseaux sociaux. Des images que, comme nous avons pu le vérifier, des pirates peuvent retrouver simplement, sans trop se fatiguer, en effectuant des recherches par mot clé ou hashtag du type « #travel », « #trip » ou tout simplement « #planeticket ».
Nombreux sont les voyageurs qui partagent des photos de leurs billets d’avion sur les réseaux sociaux. Ici un exemple de billet publié sur Instagram trouvé en utilisant le mot clé « #planeticket » sur lequel figurent les noms, prénoms, dates et lieux de départ et destination de la personne. © Futura, Instagram
Pas d’historique des connexions aux bases de données
Mais ce n'est pas tout. Car il est aussi assez facile de deviner un numéro de réservation à six caractères en prenant un nom de famille au hasard, si possible assez répandu, et en testant des combinaisons jusqu'à obtenir la bonne. En effet, la plupart des sites web ne fixent pas de limite au nombre de numéros de réservation erronés tapés par l'utilisateur. Les cybercriminels peuvent donc tranquillement faire des essais. Grâce à des logiciels automatisant cette tâche, quelques minutes suffisent pour trouver le sésame.
Outre les méfaits décrits précédemment, des pirates ayant accès aux informations personnelles d'un voyageur pourraient aussi les exploiter pour lancer des campagnes de phishing avec des courriels piégés, prétendument adressés par la compagnie aérienne évoquant un problème sur la réservation, afin de forcer la victime à communiquer à nouveau son numéro de carte bancaire. Pour couronner le tout, il s'avère qu'il n'existe pas d'historique des connexions à ces bases de données. Ce qui veut dire qu'il n'est pas possible de savoir qui y a accédé. Pas vu, pas pris...
Nemanja Nikodijevic et Karsten Nohl expliquent qu'il faudrait évidemment que le système soit sécurisé par des mots de passemots de passe. Très compliqué à mettre en œuvre car cela suppose que tous les acteurs concernés travaillent de concert pour instaurer de nouvelles procédures. Le plus facile à faire, et le minimum qu'il faudrait exiger sans délai, serait que les sites web qui donnent accès aux GDS fixent une limite au nombre de numéros de réservation erronés que l'on peut entrer.