Vous n'êtes pas identifié.
Pages: 1
Réponse : 0 / Vues : 1 971
El Roslino
A partir d'une simple photo de carte d'embarquement, il est possible d'accéder aux informations de son propriétaire et de les modifier.
Le nom du passager, sa place dans l'avion, sa destination, ses coordonnées bancaires ou encore le compte associé aux remboursements en cas d'annulation... Ces informations sont facilement récupérables et surtout, modifiables, depuis une simple photo postée sur les réseaux sociaux.
C'est l'inquiétante découverte qu'ont partagée les experts en cyber sécurité Karsten Nohl et Nemanja Nikodijevic lors de la 33ème réunion annuelle des hackers, le Chaos Communication Congress (CCC), le 27 décembre. En cause, la vétusté d'un système de réservation commun aux compagnies aériennes et agences de voyages, par lequel transitent des milliards d'informations personnelles sans mesures de sécurité informatiques suffisantes, estiment les chercheurs.
«Les systèmes de réservation manquent d'un dispositif de sécurité que nous utilisons sur tous les autres systèmes informatiques - c'est-à-dire un mot de passe», a expliqué Karsten Kohl au Süddeutsche Zeitung. Sur de nombreux sites, il suffit du nom du passager et d'un code de réservation de seulement six caractères pour accéder à des données particulièrement sensibles.
Une base de données colossale
Qu'importe la compagnie ou l'agence de voyage, la billetterie aérienne passe par des acteurs incontournables comme Amadeus, Sabre et Travelport. Tous s'occupent d'un système de réservation centralisé («Global Distribution System» ou GDS), qui permet de gérer les millions de réservations en associant chaque billet à un dossier client (contenant le nom, l'adresse mail, le numéro de téléphone, le numéro de passeport ou les coordonnées bancaires de l'acheteur, mais aussi des informations annexes comme les réservations de voitures ou d'hotels effectuées ou ses programmes de fidélité).
En 2015, Amadeus s'est ainsi occupé des données de 747 millions de passagers pour le compte de compagnies aériennes comme Air France, Lufthansa ou Iberia, mais aussi de sites de réservations de voyages, selon le Suddeutsche Zeitung.
Créées dans les années 1960, les GDS n'ont pas été repensées pour répondre aux exigences de sécurité informatiques actuelles, alors que leurs bases de données conservent et partagent les dossiers sensibles des clients aux compagnies aériennes ou agences de voyages. Leurs employés n'ont parfois même pas besoin de mots de passe pour y accéder: il leur suffit de taper le nom d'un passager. Plus grave encore, n'importe qui peut accéder à un dossier de réservation avec le nom d'un passager et son code de réservation à six caractères. Or ce code est souvent inscrit sur les cartes d'embarquement ou les étiquettes des bagages. Il suffit de fouiller Instagram et le tag #boardingpass ou encore les poubelles d'un aéroport pour en trouver des exemplaires.
Voyager gratuitement ou récupérer des points de fidélité
Sans même se déplacer ou ratisser Instagram, un hacker peut trouver le sésame. Chez Amadeus, par exemple, les numéros attribués se suivent dans le temps, a expliqué Nohl au site Tageschau. Chez Sabre, les premiers et derniers caractères sont systématiquement des lettres. Mais surtout, beaucoup de sites Web de compagnies aériennes ne limitent pas le nombre de requêtes envoyées, ce qui permet d'essayer automatiquement tous les codes possibles- jusqu'à ce que cela marche. Une personne malveillante peut ensuite annuler un vol et utiliser le crédit disponible pour en choisir un nouveau, où elle utilisera sa propre identité pour voyager gratuitement.
Cette pratique laisse toutefois des traces. «Pour passer inaperçu, il suffit de changer le nom du compte de fidélité pour adopter celui de la victime, ce qui est parfois possible. Sinon, on peut très bien créer un nouveau compte de fidélité. Des personnes se livrent d'ores et déjà à ce type de fraude, simplement en collectant les identifiants sur Instagram», explique Karsten Nohl. L'expert souligne également que la consultation d'un dossier, à des fins de renseignements, reste invisible car les systèmes de réservation GDS disposent de logs pour les accès en écriture, mais pas pour les accès en lecture.
Un porte-parole d'Amadeus a confirmé à Tageschau qu'une «faille de maintenance temporaire» avait bien laissé filtrer une dizaine de requêtes automatiques par le passé. L'équipe de chercheurs de Nohl affirme pourtant avoir pu tester deux millions de combinaisons différentes. Cela leur a même permis d'installer un reporter de la chaîne ARD à côté du député Thomas Jarzombek.
«Depuis notre étude, certains [GDS] ont commencé à mettre en place des dispositifs comme des captchas ou un plafond de requêtes par adresse IP», a tenu à rassurer Karsten Nohl lors de la conférence. «En dépit de ces révélations responsables, que nous faisons en ce moment, les choses ne semblent pas aller vers un meilleur système pour l'instant», a-til toutefois confié au site Motherboard. En 2015 déjà, l'expert en cyber-sécurité Brian Krebs avait alerté des risques de jeter sa carte d'embarquement.
Réponse : 0 / Vues : 1 971
Pages: 1