Les billets d’avion ouvrent les portes des données voyageurs aux pirates

Les systèmes de réservation de billets d’avion, GDS, ne sont pas des parangons de la sécurité informatique. Des chercheurs en ont fait la démonstration.

La fête des hackers bat son plein à Hambourg où se déroule la conférence Chaos Communication, la 33c3. Hier, nous vous faisions part de la coupe réglée menée contre la FinTech, N26 et son application. Aujourd’hui, c’est au tour des réservations de billets d’avion d’avoir le néfaste privilège d’être mis en exergue.

Deux chercheurs, Karsten Nohl et Nemanja Nikodijevic, ont dressé un tableau noir de la sécurité des systèmes de réservation informatique des billets d’avion. Nommées GDS (Global Distribution Systems) et connues sous les marques Amadeus, Galileo ou Sabre, ces architectures qui jouent le rôle d’interface entre les compagnies aériennes et les sites de voyages datent de plusieurs décennies. A une époque où les mesures de protection des données personnelles étaient très faibles voire inexistantes. Le problème est que ces GDS stockent une multitude d’informations personnelles au sein du dossier de réservation (PNR ou Passenger Name Record) dont adresse, adresse e-mail, numéro de téléphone, numéro de carte de fidélité, et parfois même numéro de carte de crédit.

Une porte un peu trop grande ouverte

Ces données sont accessibles pour beaucoup (trop) de personnes, assurent les chercheurs. Parfois même sans mot de passe, sur certaines compagnies aériennes il suffit de rentrer le nom du voyageur et le code de réservation. Pour glaner ces informations, pas besoin d’avoir accès physiquement à la carte d’embarquement ou au code-barres des bagages, il suffit simplement de flâner sur les réseaux sociaux où les gens publient des tas de photos montrant leur billet d’avion et montrer outre leur destination, leur numéro de programme de fidélité, leur numéro de réservation et le code-barre. Quelqu’un de malintentionné pourrait très bien annuler, modifier le billet ou demander le remboursement en point de fidélité.

Une vraie mine d’or révélée en octobre 2015 par le blog de Brian Krebs où un certain Cory exposait déjà le problème. A partir d’une carte d’embarquement d’un ami et d’un scan de code barre acheté dans le commerce, il a réussi à obtenir le nom, le numéro de carte de fidélité et d’autres informations personnelles, ainsi que le dossier de réservation.

Des numéros de réservation prévisibles

Karsten Nohl et Nemanja Nikodijevic ont été plus loin dans la démonstration en expliquant que les numéros de réservation ne sont pas générés de manière aléatoire. En effet, pour Amadeus et Galileo, les numéros se suivent dans le temps. Pour Sabre, le premier et sixième caractère est nécessairement une lettre. Pas très rassurant tout cela. Et pour corser le tout, les spécialistes ont découvert que les GDS disposent de logs pour les accès en écriture, mais pas pour les accès en lecture.

Les différents GDS ont été interpellés par nos confrères de Reuters. Amadeus a répondu que « nous prendrons ces découvertes en compte avec nos collaborateurs pour résoudre ces problèmes et chercher des solutions à ces problèmes potentiels ». Sabre considère « avoir de nombreuses couches de sécurité », mais reste ouvert aux discussions « pour maintenir la sécurité et la confidentialité des voyageurs, ainsi que la sécurité de nos systèmes ».

Premiers décollages réussis pour la 4G dans les avions

Lire aussi : Piratage : Citrix victime de “password spraying”