Lire les données personnelles des voyageurs aériens, engranger leurs miles, modifier leurs billets, voire les annuler et détourner le remboursement… Tout ceci est possible, sans grande difficulté, en raison de la vétusté des systèmes de réservation informatiques du secteur aérien. C’est ce que viennent de démontrer les chercheurs en sécurité Karsten Nohl et Nemanja Nikodijevic, à l’occasion de la conférence “33C3 Chaos Communication Congress”.
Toute la billetterie aérienne s’appuie sur un système baptisé “Global Distribution System” (GDS), qui est implémenté par trois acteurs (Amadeus, Sabre, Galileo) et qui permet de générer de façon unique une réservation, partout dans le monde et quel que soit le voyageur, la compagnie ou l’agence en question. Le dossier de réservation – également appelé « Passenger Name Record » (PNR) – contient tout un tas d’informations personnelles: nom, prénom, adresse email, numéro de téléphone, programme de fidélité, adresse postale, et parfois même la date de naissance, le numéro de passeport et les détails de réservations annexes (voiture, hôtel). Le problème, c’est que l’accès à ce dossier est très peu sécurisé: il suffit pour cela d’aller sur le site web d’une compagnie (Air France ou Lufthansa par exemple), puis de rentrer le nom de famille et le code de réservation à six caractères du voyageur en question.
Des identifiants largement disponibles
Or, il est n’est pas très compliqué d’avoir ces identifiants. « Ils sont imprimés sur les billets et sur les étiquettes à codes-barres des bagages, ce qui n’est déjà pas une très bonne idée pour des identifiants d’accès », explique Karsten Nohl. Mais pas la peine d’aller traîner dans un aéroport pour en récupérer: il suffit d’aller sur des sites de partages de photos comme Instagram. Beaucoup de personnes, en effet, aiment se prendre en photo avec leurs billets à la main. Pendant leur présentation, les chercheurs ont montré en temps réel comment récupérer les identifiants depuis un code-barres extrait d’une photo. C’est d’une simplicité effarante.
Il est également possible de récupérer des identifiants de façon automatique, en sélectionnant un nom de famille et en essayant toutes les combinaisons possibles du code à 6 caractères sur les sites de réservation. Ce code, en effet, n’est pas totalement aléatoire. Chez Amadeus et Galileo, par exemple, les numéros se suivent dans le temps. Chez Sabre, le premier et sixième caractère est forcément une lettre. Etc. Mais surtout, beaucoup de sites web de compagnies aériennes ne limitent pas le nombre de requêtes envoyées, permettant du coup de scanner l’espace des PNR en toute tranquillité. « Depuis notre étude, certains ont néanmoins commencé à mettre en place des dispositifs comme des captchas ou un plafond de requêtes par adresse IP », se félicite Karsten Nohl. Mieux vaut tard que jamais.
Une fois en possession d’un tel identifiant, une personne malveillante peut faire un certain nombre de manipulations. En fonction du niveau de flexibilité du billet et de la compagnie aérienne, elle peut changer la date et le parcours du trajet. Au sein de l’espace Schengen, où les contrôles de passeport sont relativement rares, elle pourra donc utiliser ce billet pour elle-même. Selon le chercheur, quelques compagnies permettent également de changer le nom du passager et l’adresse email, ce qui est encore plus simple. « Il est également possible, dans certains cas, d’annuler un vol et de recevoir directement dans le PNR un crédit que l’on peut alors immédiatement dépenser dans un nouveau billet », explique Karsten Nohl.
Siphonner des miles en douce
Enfin, souligne-t-il, rien n’empêche une personne malveillante d’ajouter son propre compte de fidélité à la réservation d’une autre personne, pour ainsi récupérer ses miles. « Pour passer inaperçu, il suffit pour cela de changer le nom du compte de fidélité pour adopter celui de la victime, ce qui est parfois possible. Sinon, on peut très bien créer un nouveau compte de fidélité. Des personnes s’adonnent d’ores et déjà à ce type de fraude, simplement en collectant les identifiants sur Instagram. Les compagnies peuvent détecter cela, mais seulement quand c’est excessif », précise le chercheur en sécurité.
Enfin, comble de l’insécurité, les systèmes de réservation GDS disposent de logs pour les accès en écriture, mais pas pour les accès en lecture. Il est donc impossible de savoir si un PNR a été consulté par quelqu’un dans le passé. « Les sociétés GDS expliquent que c’est technologiquement impossible. Mais je pense qu’en réalité, ils souhaitent ne pas laisser de traces. Ainsi, ils évitent toute implication publique dans la surveillance gouvernementale », estime Karsten Nohl. La mauvaise nouvelle, c’est qu’il est très peu probable que cela change à court ou moyen terme, compte tenu des centaines d’acteurs impliqués dans ce système de réservation mondial.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.