fbpx

Les photos de billets d’avion sur les réseaux sociaux, des proies faciles pour les pirates

Par

le

Selon des chercheurs en sécurité, la dernière chose que vous devriez faire avec vos billets d’avion est d’afficher une photo en ligne.

Le système mondial utilisé pour coordonner les réservations de voyages entre les compagnies aériennes, les agents de voyages et les comparateurs de prix manque cruellement de sécurité, selon des chercheurs en sécurité.

Le manque de fonctionnalités de sécurité modernes, tant dans la conception du système lui-même que dans les nombreux sites et services qui contrôlent l’accès à celui-ci, facilite à un hacker la collecte d’informations personnelles provenant de réservations, la modification des réservations d’autres personnes, l’annulation de leurs vols et même l’utilisation des remboursements de billets pour réserver des places d’avion en utilisant un autre nom, selon le cabinet de sécurité allemand SR Labs.

Connu sous le nom de Global Distribution Systems (GDS), la technologie remonte aux années 1960, quand une des premières entreprises dans le domaine, Sabre, a été fondée. Pour la plupart des voyageurs, la technologie est le plus évidemment associée au dossier passager de six caractères, Passenger Name Records en anglais (PNR), utilisé fréquemment pour permettre l’enregistrement en ligne et la récupération des billets.

Le système PNR a également été le chemin utilisé pour trouver les faiblesses démontrées par Karsten Nohl et Nemanja Nikodijevic, deuxles chercheurs qui ont révélé les défauts du système lors du congrès du 33e Chaos Communications Congress à Hambourg. Au cours de la présentation, Nohl a expliqué que «beaucoup moins de piratage était réellement nécessaire pour exploiter » le système de réservation.

Au cœur de plusieurs des faiblesses se trouvait l’utilisation standard de seulement deux informations pour authentifier une réservation: le PNR à six caractères, combiné avec le nom de famille de l’utilisateur.

« Si le PNR est supposé être un mot de passe sécurisé, alors il devrait être traité comme tel »
, a déclaré Nohl. « Mais ils ne gardent pas secret: il est imprimé sur chaque bagage. Il était auparavant imprimé sur les cartes d’embarquement, jusqu’à ce qu’il disparaisse et soit remplacé avec un code-barres. « 

Cependant, le code-barres est également facile à lire en utilisant un certain nombre d’applications, ce qui signifie que les quelques 80.000 voyageurs qui ont affiché des photos via le hashtag #boardingpass sur Instagram risquent de se faire voler des informations, comme l’a démontré Nikodijevic.

«Cela est censé être la seule façon d’authentifier les utilisateurs», a dit Nohl, «et il est imprimé sur des morceaux de papier que vous venez de jeter à la fin du voyage. »

Un problème plus important pour la plupart des utilisateurs, cependant, est que le code à six caractères est facile à deviner. Chaque fournisseur de GDS (il en existe plusieurs, mais les deux principaux sont Sabre, fondé en 1960, et Amadeus, fondé en 1987) utilise un système différent pour les générer, mais tous ont des problèmes multiples qui les rendent plus faibles qu’un simple mot de passe à six caractères.

Par exemple, certains fournisseurs itèrent les deux premiers caractères séquentiellement, ce qui signifie que tous les PNR générés en une journée auront les mêmes premiers caractères. D’autres réservent certains codes pour des compagnies aériennes spécifiques, réduisant de nouveau l’éventail de combinaisons qu’un attaquant doit tester.

Beaucoup de portails dans le système de GDS ont également des dispositifs de sécurité très basiques – ou au moins avaient des dispositifs de sécurité peu sécurisés jusqu’à Kohl et Nikodijevic les avertissent.

Certains sites web qui ont accès au système et qui vous permettent d’utiliser votre PNR et votre nom de famille pour vérifier l’état de votre vol ne proposent aucune mesure pour lutter contre un pirate en devinant des milliers de combinaisons par minute. Les chercheurs ont pu accéder à plusieurs dossiers. Par exemple, si vous cherchez des réservations sous le nom « Smith », en utilisant un millier de codes de réservation générés au hasard, cinq ont mené à des réservations actives.

Les attaquants pourraient utiliser cet accès pour annuler un vol en échange de miles, puis réserver de nouveaux billets. Des dommages encore plus importants pourraient être causés par les informations contenues dans la réservation. Il y a assez de données sensibles pour mettre au point des e-mails de phishing convaincants prétendant signaler des problèmes avec les vols ou les réservations des clients.

Les faiblesses du PNR ne font qu’effleurer la surface des problèmes avec le GDS en général, selon les chercheurs: il semble qu’il n’y ait pas de logs pour savoir qui a accédé aux données et pourquoi (en lecture), et les contrôles d’accès en général sont pratiquement inexistants. Toute entreprise impliquée dans votre réservation peut voir le tout.

Au cours de sa présentation, Karsten Nohl a tenu à rassurer en disant que plusieurs systèmes ont mis en place de nouvelles mesures afin de sécuriser l’accès à ces données. Toutefois, il est préférable de ne pas publier de photo de son billet d’avion ni d’aucun autre document sensible du même genre sur internet.

Articles recommandés