2 min de lecture Connecté

Pourquoi il ne faut jamais afficher un billet d'avion sur Instagram ou Facebook

En raison de la vulnérabilité des sites des compagnies aériennes, pirater un billet d'avion en ligne est un jeu d'enfant.

Publier un billet d'avion sur les réseaux sociaux l'expose au piratage
Publier un billet d'avion sur les réseaux sociaux l'expose au piratage Crédit : Montage RTLNet / Instagram
BenjaminHuepro
Benjamin Hue
Journaliste RTL

Accéder aux informations personnelles de centaines de millions de passagers aériens est un jeu d’enfant. Pas la peine d’être un pirate chevronné, en raison de la vulnérabilité des systèmes de réservation en ligne des principales compagnies aériennes, il suffit de quelques clics à une personne malveillante pour modifier la date ou le parcours d’un vol, dérober des miles, usurper une identité, annuler un billet et encaisser le remboursement.


Deux experts en cybersécurité informatique, Karsten Nohl et Nemanja Nikodijevic, ont dressé ce constat inquiétant lors de la 33e édition du Chaos Communication Congress, une conférence annuelle dédiée aux hackers qui se déroulait mardi 27 décembre à Hambourg, rapporte Le Monde. Les chercheurs ont mis en lumière les faiblesses du Global Distribution System, le dispositif de gestion des réservations des prestations de voyage qui fait le lien entre les sites de vente de billets et les compagnies aériennes.

Des informations faciles à récolter

Créé il y a quatre décennies, le GDS centralise les prix et les disponibilités des vols pour tous les sites de vente. Il garde en mémoire les réservations passées des internautes et conserve dans un dossier de nombreuses informations personnelles comme le nom, l’adresse email, le numéro de téléphone, le programme de fidélité, le numéro de passeport. Ces registres de dossiers de données passagers sont connus sous le nom de PNR. Elles constituent l’une des plus importantes bases de données d’informations personnelles au monde.

À lire aussi
Les enfants passent de plus en plus de temps devant les écrans Connecté
Comment contrôler le temps passé par les enfants devant les écrans

L’accès à ces dossiers est très peu sécurisé. Il suffit de se rendre sur le site Internet d’une compagnie et de rentrer le nom de famille avec un code de réservation à six caractères pour pénétrer dans l’interface. Ces identifiants sont faciles à obtenir. Ils sont imprimés sur les billets d’avion et sur les étiquettes à code-barres des bagages. Il est également possible de récolter ces informations sur les réseaux sociaux, en écumant par exemple certains hashtag Instagram, parsemés de nombreux clichés de billets d’avion publiés par des internautes imprudents.

De nombreuses possibilités pour les pirates

Comme l’ont expliqué les chercheurs durant leur intervention, il est également possible de récupérer des identifiants de façon automatique en sélectionnant un nom de famille et en testant plusieurs combinaisons de code à six caractères. Chez certaines compagnies, les suites de chiffres composant les numéros de réservation ne sont pas générées de façon aléatoire : elles peuvent se suivre ou commencer par une lettre. La recherche est facilitée par le fait que beaucoup de sites de compagnies ne limitent pas le nombre de requêtes envoyées et permettent aux hackers de forcer le système.

Une fois ces informations récupérées, il est possible changer le nom du passager sur le billet, l’adresse email, la date et le parcours du vol et, in fine, de voyager à la place de la victime. Le pirate peut aussi annuler un billet et recevoir dans son dossier PNR un crédit à dépenser dans un nouveau vol ou ajouter son propre compte de fidélité à la réservation d’une personne pour récupérer ses miles. Les chercheurs ont indiqué que plusieurs compagnies ont renforcé la sécurité de leurs sites de réservation après leurs révélations. Mais la sécurité des données PNR reste globalement largement insuffisante.

L'intégralité de l'intervention des chercheurs est à retrouver dans la vidéo ci-dessous.

La rédaction vous recommande
Lire la suite
Connecté Piratage Tourisme
Restez informé
Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires. Cette inscription sera valable sur le site RTL.fr.

Connectez-vous Inscrivez-vous

500 caractères restants

fermer
Signaler un abus
Signaler le commentaire suivant comme abusif
500 caractères restants
article
7786501365
Pourquoi il ne faut jamais afficher un billet d'avion sur Instagram ou Facebook
Pourquoi il ne faut jamais afficher un billet d'avion sur Instagram ou Facebook
En raison de la vulnérabilité des sites des compagnies aériennes, pirater un billet d'avion en ligne est un jeu d'enfant.
https://www.rtl.fr/actu/futur/pourquoi-il-ne-faut-jamais-afficher-un-billet-d-avion-sur-instagram-ou-facebook-7786501365
2016-12-29 15:07:32
https://cdn-media.rtl.fr/cache/I6FEjd-djkRR-tMx7roUBA/330v220-2/online/image/2016/1229/7786501683_publier-un-billet-d-avion-sur-les-reseaux-sociaux-l-expose-au-piratage.jpg