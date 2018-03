publié le 29/12/2016 à 15:07

Accéder aux informations personnelles de centaines de millions de passagers aériens est un jeu d’enfant. Pas la peine d’être un pirate chevronné, en raison de la vulnérabilité des systèmes de réservation en ligne des principales compagnies aériennes, il suffit de quelques clics à une personne malveillante pour modifier la date ou le parcours d’un vol, dérober des miles, usurper une identité, annuler un billet et encaisser le remboursement.





Deux experts en cybersécurité informatique, Karsten Nohl et Nemanja Nikodijevic, ont dressé ce constat inquiétant lors de la 33e édition du Chaos Communication Congress, une conférence annuelle dédiée aux hackers qui se déroulait mardi 27 décembre à Hambourg, rapporte Le Monde. Les chercheurs ont mis en lumière les faiblesses du Global Distribution System, le dispositif de gestion des réservations des prestations de voyage qui fait le lien entre les sites de vente de billets et les compagnies aériennes.



Des informations faciles à récolter

Créé il y a quatre décennies, le GDS centralise les prix et les disponibilités des vols pour tous les sites de vente. Il garde en mémoire les réservations passées des internautes et conserve dans un dossier de nombreuses informations personnelles comme le nom, l’adresse email, le numéro de téléphone, le programme de fidélité, le numéro de passeport. Ces registres de dossiers de données passagers sont connus sous le nom de PNR. Elles constituent l’une des plus importantes bases de données d’informations personnelles au monde.

L’accès à ces dossiers est très peu sécurisé. Il suffit de se rendre sur le site Internet d’une compagnie et de rentrer le nom de famille avec un code de réservation à six caractères pour pénétrer dans l’interface. Ces identifiants sont faciles à obtenir. Ils sont imprimés sur les billets d’avion et sur les étiquettes à code-barres des bagages. Il est également possible de récolter ces informations sur les réseaux sociaux, en écumant par exemple certains hashtag Instagram, parsemés de nombreux clichés de billets d’avion publiés par des internautes imprudents.

De nombreuses possibilités pour les pirates

Comme l’ont expliqué les chercheurs durant leur intervention, il est également possible de récupérer des identifiants de façon automatique en sélectionnant un nom de famille et en testant plusieurs combinaisons de code à six caractères. Chez certaines compagnies, les suites de chiffres composant les numéros de réservation ne sont pas générées de façon aléatoire : elles peuvent se suivre ou commencer par une lettre. La recherche est facilitée par le fait que beaucoup de sites de compagnies ne limitent pas le nombre de requêtes envoyées et permettent aux hackers de forcer le système.



Une fois ces informations récupérées, il est possible changer le nom du passager sur le billet, l’adresse email, la date et le parcours du vol et, in fine, de voyager à la place de la victime. Le pirate peut aussi annuler un billet et recevoir dans son dossier PNR un crédit à dépenser dans un nouveau vol ou ajouter son propre compte de fidélité à la réservation d’une personne pour récupérer ses miles. Les chercheurs ont indiqué que plusieurs compagnies ont renforcé la sécurité de leurs sites de réservation après leurs révélations. Mais la sécurité des données PNR reste globalement largement insuffisante.



L'intégralité de l'intervention des chercheurs est à retrouver dans la vidéo ci-dessous.