Pour pirater des billets d'avion, il suffit d'aller sur Instagram
Prendre en photo votre billet d'avion et le partager sur un réseau social comme Instagram n'est pas une très bonne idée. Sur ces documents figurent non seulement votre nom, mais aussi votre code de réservation à six caractères. Or, il faut savoir que c'est tout ce qu'il faut pour accéder à vos données de voyage depuis un site web d'une compagnie aérienne, comme Air France ou Lufthansa. Pire: une personne malveillante pourrait modifier votre vol, siphonner vos miles ou demander une annulation et encaisser le remboursement. C'est en effet ce que viennent de montrer les chercheurs en sécurité Karsten Nohl et Nemanja Nikodijevic, à l'occasion de la conférence "33C3 Chaos Communication Congress".
L'accès est très peu sécurisé
Toute la billetterie aérienne s'appuie sur un système baptisé "Global Distribution System" (GDS). Créé dans les années 1970, il est géré par trois acteurs (Amadeus, Sabre, Galileo) et permet de créer de façon unique une réservation, partout dans le monde et quel que soit la compagnie, l'agence ou le voyageur en question. Le dossier de réservation – également appelé "Passenger Name Record" (PNR) - contient tout un tas d'informations personnelles: nom, prénom, adresse email, numéro de téléphone, programme de fidélité, adresse postale, et parfois même la date de naissance, le numéro de passeport et les détails de réservations annexes (voiture, hôtel). Le problème, c'est que l'accès à ce dossier est très peu sécurisé: il suffit d'aller sur le site web d'une compagnie (Air France ou Lufthansa par exemple), puis de rentrer le nom de famille et le code de réservation à six caractères du voyageur en question.