Pour gérer vos consentements :

La fête des hackers bat son plein à Hambourg où se déroule la conférence Chaos Communication, la 33c3. Hier, nous vous faisions part de la coupe réglée menée contre la FinTech, N26 et son application. Aujourd’hui, c’est au tour des réservations de billets d’avion d’avoir le néfaste privilège d’être mis en exergue.

Deux chercheurs, Karsten Nohl et Nemanja Nikodijevic, ont dressé un tableau noir de la sécurité des systèmes de réservation informatique des billets d’avion. Nommées GDS (Global Distribution Systems) et connues sous les marques Amadeus, Galileo ou Sabre, ces architectures qui jouent le rôle d’interface entre les compagnies aériennes et les sites de voyages datent de plusieurs décennies. A une époque où les mesures de protection des données personnelles étaient très faibles voire inexistantes. Le problème est que ces GDS stockent une multitude d’informations personnelles au sein du dossier de réservation (PNR ou Passenger Name Record) dont adresse, adresse e-mail, numéro de téléphone, numéro de carte de fidélité, et parfois même numéro de carte de crédit.

Une porte un peu trop grande ouverte

Ces données sont accessibles pour beaucoup (trop) de personnes, assurent les chercheurs. Parfois même sans mot de passe, sur certaines compagnies aériennes il suffit de rentrer le nom du voyageur et le code de réservation. Pour glaner ces informations, pas besoin d’avoir accès physiquement à la carte d’embarquement ou au code-barres des bagages, il suffit simplement de flâner sur les réseaux sociaux où les gens publient des tas de photos montrant leur billet d’avion et montrer outre leur destination, leur numéro de programme de fidélité, leur numéro de réservation et le code-barre. Quelqu’un de malintentionné pourrait très bien annuler, modifier le billet ou demander le remboursement en point de fidélité.

Une vraie mine d’or révélée en octobre 2015 par le blog de Brian Krebs où un certain Cory exposait déjà le problème. A partir d’une carte d’embarquement d’un ami et d’un scan de code barre acheté dans le commerce, il a réussi à obtenir le nom, le numéro de carte de fidélité et d’autres informations personnelles, ainsi que le dossier de réservation.

Des numéros de réservation prévisibles

Karsten Nohl et Nemanja Nikodijevic ont été plus loin dans la démonstration en expliquant que les numéros de réservation ne sont pas générés de manière aléatoire. En effet, pour Amadeus et Galileo, les numéros se suivent dans le temps. Pour Sabre, le premier et sixième caractère est nécessairement une lettre. Pas très rassurant tout cela. Et pour corser le tout, les spécialistes ont découvert que les GDS disposent de logs pour les accès en écriture, mais pas pour les accès en lecture.

Les différents GDS ont été interpellés par nos confrères de Reuters. Amadeus a répondu que « nous prendrons ces découvertes en compte avec nos collaborateurs pour résoudre ces problèmes et chercher des solutions à ces problèmes potentiels ». Sabre considère « avoir de nombreuses couches de sécurité », mais reste ouvert aux discussions « pour maintenir la sécurité et la confidentialité des voyageurs, ainsi que la sécurité de nos systèmes ».

A lire aussi :

Un hacker pirate le vol d’un avion depuis un siège passager

Premiers décollages réussis pour la 4G dans les avions

Recent Posts

Quand le candidat IT idéal n’est pas celui que vous croyez

L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…

1 jour ago

Roaming : le menu dans l’Union européenne jusqu’en 2032

La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…

1 jour ago

Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?

Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…

1 jour ago

Google Cloud ouvre sa région France

Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…

2 jours ago

Pourquoi FedEx bascule des grands systèmes au cloud

Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…

2 jours ago

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

2 jours ago