Tech&Co
Cybersécurité

Pour pirater des billets d'avion, il suffit d'aller sur Instagram

-

- - Cheng-en Cheng (Creative Commons)

Le système de réservation des billets d'avion est très vulnérable assurent des chercheurs en sécurité. Accéder aux données personnelles d'un voyageur est un jeu d'enfant. Le risque? Siphonnage des miles voire modification du billet.

Prendre en photo votre billet d'avion et le partager sur un réseau social comme Instagram n'est pas une très bonne idée. Sur ces documents figurent non seulement votre nom, mais aussi votre code de réservation à six caractères. Or, il faut savoir que c'est tout ce qu'il faut pour accéder à vos données de voyage depuis un site web d'une compagnie aérienne, comme Air France ou Lufthansa. Pire: une personne malveillante pourrait modifier votre vol, siphonner vos miles ou demander une annulation et encaisser le remboursement. C'est en effet ce que viennent de montrer les chercheurs en sécurité Karsten Nohl et Nemanja Nikodijevic, à l'occasion de la conférence "33C3 Chaos Communication Congress".

L'accès est très peu sécurisé

Toute la billetterie aérienne s'appuie sur un système baptisé "Global Distribution System" (GDS). Créé dans les années 1970, il est géré par trois acteurs (Amadeus, Sabre, Galileo) et permet de créer de façon unique une réservation, partout dans le monde et quel que soit la compagnie, l'agence ou le voyageur en question. Le dossier de réservation – également appelé "Passenger Name Record" (PNR) - contient tout un tas d'informations personnelles: nom, prénom, adresse email, numéro de téléphone, programme de fidélité, adresse postale, et parfois même la date de naissance, le numéro de passeport et les détails de réservations annexes (voiture, hôtel). Le problème, c'est que l'accès à ce dossier est très peu sécurisé: il suffit d'aller sur le site web d'une compagnie (Air France ou Lufthansa par exemple), puis de rentrer le nom de famille et le code de réservation à six caractères du voyageur en question.

Or, il est n'est pas très compliqué d'avoir ces identifiants. "Ils sont imprimés sur les billets et sur les étiquettes à codes-barres des bagages, ce qui n'est déjà pas une très bonne idée pour des identifiants d'accès", explique Karsten Nohl. Mais pas la peine d'aller traîner dans un aéroport pour en récupérer: il suffit d'aller sur des sites de partages de photos comme Instagram. Beaucoup de personnes aiment, en effet, se prendre en photo avec leurs billets à la main. Pendant leur présentation, les chercheurs ont montré en temps réel comment récupérer les identifiants depuis un code-barres extrait d'une photo. C'est d'une simplicité effarante.

-
- © -
Une recherche sur Instagram donne beaucoup de résultats
Une recherche sur Instagram donne beaucoup de résultats © DR

Lire la suite sur 01net.com