Qui n’a jamais effectué un selfie avec son billet d’avion dans les mains avec un large sourire, pour montrer à tout le monde que l’on va partir en vacances ? Beaucoup, non ? C’est toutefois une assez mauvaise idée, car des hackers sont à l’affut de ce genre de clichés, car ils peuvent les exploiter pour vous pirater ensuite.
Un système trop vétuste pour gérer les réservations de billets d’avion
En effet, les systèmes informatiques liés aux réservations de billets d’avion sont en général assez anciens et très souvent ils contiennent des failles de sécurité importantes. La preuve la plus évidente, est qu’un simple billet d’avion papier est déjà un moyen de contourner le GDS (Global Distribution Systems), le système de réservation des billets d’avion.
Karsten Nohl et Nemanja Nikodijevic, les deux experts en sécurité informatique qui ont publié leurs travaux durant la 33e édition du Chaos Communication Congress, ont montré qu’ils pouvaient facilement accéder aux données des clients, mais plus grave : effectuer des modifications. Les chercheurs accèdent simplement aux données des passagers, contenant entre autres (adresse, adresse e-mail, numéro de téléphone, numéro de carte de fidélité, et également au numéro de carte de paiement).
Accéder aux données et les modifier
Il est donc facile d’imaginer, que des délinquants seraient ravis de disposer d’informations si précises pour effectuer leurs larcins. Les chercheurs ont expliqué : « Aucun hacking n’a été nécessaire ». C’est d’ailleurs cela le plus inquiétants, car le GDS datant des années 1960, il suffit d’associer le bon nom de passager avec le code de réservation pour entrer ! Une photo de billet sur les réseaux sociaux contient justement ces deux données… que l’on peut ensuite utiliser sur n’importe quel site de compagnie aérienne, puisqu’il s’agit d’un système international. De plus, très peu de sites enferment la gestion de ces données derrière un mot de passe et ceux qui le font, problème de vétusté oblige, le font avec des solutions de chiffrement dépassées. Les pirates peuvent donc s’en donner à cœur joie !
Vous êtes déjà plus inquiet à la lecture de ces quelques lignes ? Ce n’est pas tout… Les chercheurs ont démontré qu’ils pouvaient, très simplement modifier les données “passager” non pas pour partir à Hawaï à votre place, mais pour changer les coordonnées bancaires liées au billet d’avion et se faire rembourser ce dernier sur un compte à l’étranger, tout simplement. Vous souhaitez toujours poster votre billet d’avion sur les réseaux sociaux ?
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Hello Emmanuel,
Je travaille pour un GDS, le leader mondial – d’ailleurs le système date plus des années 80 que des années 60, mais passons. Il appartient de la responsabilité des voyageurs de ne pas divulger leur record locator (le code de leur réservation). Chaque action dans le PNR (modification de nom, modification de méthode de paiement) crée une ligne, aucune ligne ne peut disparaitre ou être modifiée. Il est donc très simple de vérifier la véracité des données d’un PNR. Aussi, en dehors du RecLoc, le nom de famille ne suffit pas. Il faut savoir où le billet a été vendu. Bref, cet article (source) m’a bien fait sourire.
Bonne continuation sur Presse-citron !
En gros avec les infos adéquates on peut accéder à une réservation et la modifier…. wow c’est de la recherche de haut vol ça… C’est comme si je posais la clé devant ma porte d’entrée et que je faisais un article disant que la sécurité des portes d’entrée laissait à désirer.
Oui, les companies aériennes ont un retard extrème en terme de sécurité.
Exemple: Air France: mot de passe de 6 chiffres maximum! WTF!
Il faut faire un article là-dessus.