Ne jamais publier une photo de son billet d'avion sur internet

31 Décembre, 2016, 00:37 | Auteur: Lynn Cook
  • Ne jamais publier une photo de son billet d'avion sur internet

A l'occasion de la 33e édition du Chaos Communication Congress, qui se tenait à Hambourg en début de semaine, deux experts en sécurité informatique, Karsten Nohl et Nemanja Nikodijevic, ont prouvé qu'il était possible de pirater un billet d'avion à partir d'une simple photo de celui-ci publiée sur les réseaux sociaux.

Sur votre carte d'embarquement sont précisés votre code de réservation de six caractères et votre nom. Grâce à ces deux informations, des personnes malveillantes peuvent ainsi accéder à votre dossier de réservation et donc à toutes vos données comme votre place de vol, votre destination, vos coordonnées bancaires, etc. Elles peuvent même modifier ces informations. Des informations faciles à obtenir puisqu'elles figurent sur les billets d'avion que de nombreux voyageurs prennent en photo et postent sur les réseaux sociaux ainsi que sur les étiquettes code-barres des bagages. En cause, un système de réservation commun à presque toutes les compagnies aériennes et les agences de voyages, complétement vétuste en matière de sécurité. Il a été créé dans les années 1970, il est géré par trois sociétés Amadeus, Sabre et Galileo.

On parle ici de 747 millions de passagers, traités par Amadeus pour des compagnies comme Air France, Lufthansa, Iberia, et des sites de réservations de voyage.

"Les systèmes de réservation manquent d'un dispositif de sécurité que nous utilisons sur tous les autres systèmes informatiques - c'est-à-dire un mot de passe", a expliqué Karsten Kohl au Süddeutsche Zeitung. Le dossier de réservation - également appelé "Passenger Name Record" (PNR) - contient tout un tas d'informations personnelles: nom, prénom, adresse email, numéro de téléphone, programme de fidélité, adresse postale, et parfois même la date de naissance, le numéro de passeport et les détails de réservations annexes (voiture, hôtel). Ainsi, il suffit de se rendre sur le site Internet d'une compagnie aérienne et de rentrer le nom du voyageur et le code de réservation à 6 chiffres. Chez Amadeus, par exemple, les numéros attribués se suivent dans le temps, a expliqué Nohl au site Tageschau.

Ce système de réservation centralisé pointé du doigt, c'est le Global Distribution System (GDS). Sinon, on peut très bien créer un nouveau compte de fidélité. "Cela leur a même permis d'installer un reporter de la chaîne ARD à côté du député Thomas Jarzombek", ajoute Le Figaro.

"Depuis notre étude, certains [GDS] ont commencé à mettre en place des dispositifs comme des captchas ou un plafond de requêtes par adresse IP", a rassuré Karsten Nohl lors de la conférence.

De nombreuses personnes semblent encore ignorer ces failles de sécurité. En 2015 déjà, l'expert en cyber-sécurité Brian Krebs avait alerté des risques de jeter sa carte d'embarquement.

Recommande: