En fait, la dernière chose à faire avec les billets ou les cartes d’embarquement est de les mettre en ligne. Ce morceau de papier contient des données que n’importe qui peut utiliser pour voler un billet ! y ajouter des miles aériens ou même jouer un mauvais tour. Il y a un peu plus d’un an, quelqu’un a fait des mauvaises blagues à partir des informations recueillies sur les billets vendus en ligne. Récemment, les experts en sécurité Karsten Nohl et Nemanja Nikodijevic ont de nouveau abordé ce sujet lors du Chaos Communication Congress (33С3).

Les risques d’un achat de billet en ligne

Les compagnies aériennes, les voyagistes, les sites web et de nombreux autres services travaillent ensemble pour offrir aux voyageurs des options de réservation faciles. L’industrie utilise les systèmes de distribution mondiaux pour vérifier les vols disponibles, s’assure que les sièges ne sont pas réservés en double, etc. En conséquence, la technologie actuelle peut faire encourir des risques aux utilisateurs en termes de protection et offre une cible facile pour les criminels.

Bien qu’il existe actuellement une vingtaine de fournisseurs de Système Mondial de Distribution, le duo de sécurité Nohl et Nikodijevic s’est concentré sur ces trois systèmes principaux : Sabre (fondé en 1960), Amadeus (fondé en 1987) et Galileo (qui fait maintenant partie de Travelport). Ces systèmes gèrent plus de 90 réservations de vols, ainsi que des réservations d’hôtels, de véhicules et de voyages.

Ainsi, Lufthansa et AirBerlin ont travaillé avec Amadeus et avec le tour opérateur Expedia. American Airlines et la compagnie aérienne Аeroflot ont fait confiance à Sabre. Cependant, il est difficile de déterminer quel Système Mondial de Distribution stocke les données personnelles d’un passager particulier : Par exemple, si on fait une réservation de billet auprès d’American Airlines via Expedia, Amadeus et Sabre enregistrent l’achat. Selon les règles du système de réservation, les enregistrements du Global Distribution Systems contiennent généralement le nom et le numéro de téléphone du passager, ainsi que son numéro de billet, les aéroports de départ et d’arrivée et la date et l’heure du vol. Il contient également des informations sur les paiements tels les numéros de carte de crédit.

Comment un usurpateur peut voler un billet

Nohl et Nikodijevic ont souligné que de nombreuses personnes ont accès à ces données, notamment les employés des compagnies aériennes, les voyagistes, les représentants des hôtels, etc. Les chercheurs partent du principe que ces données peuvent également être lues par les organismes gouvernementaux. Mais ce n’est que la partie visible de l’iceberg. Pour accéder à ces informations et les modifier, le Système Mondial de Distribution utilisent le nom du voyageur comme identifiant et un code de réservation à six chiffres comme mot de passe. Oui, c’est le Passenger Name Record qui est visiblement imprimé sur les cartes d’embarquement et les étiquettes de bagages. Comme un mot de passe. « Si le PNR doit être un mot de passe sécurisé, il doit être traité comme tel », a déclaré M. Nohl lors de la conférence. « Mais on n’en fait pas un secret : on peut le voir sur chaque bagage. Il était auparavant imprimé sur les cartes d’embarquement jusqu’à sa disparition et a été remplacé par un code barre ». D’ailleurs, ce code barre contient toujours le Passenger Name Record. La majorité des voyageurs ne comprennent pas les rouages de l’industrie aérienne et publient donc avec empressement leurs billets en ligne avec le Passenger Name Record, encodé dans un code barre. Cependant, un code à barres n’est pas un mystère ; il peut être lu par un logiciel spécial. Ainsi, toute personne qui prend une photo de l’étiquette des bagages dans un aéroport ou qui a trouvé un billet en ligne peut accéder aux données personnelles de l’acheteur. Il n’est pas nécessaire d’être un hacker pour exploiter les vulnérabilités des PNR, il suffit de savoir où chercher.

De plus, de nombreuses compagnies aériennes et portails de comparaison ne bloquent pas les utilisateurs qui entrent un mauvais code plus d’une fois. Cela permet aux criminels de choisir des noms de famille communs, tels que Schneider, et de trouver facilement les Passenger Name Record de ces passagers par la force. Ce n’est pas difficile : le code est composé de six chiffres, et les algorithmes de génération de code souffrent souvent de certaines faiblesses. Par exemple, certains d’entre eux répètent les deux premiers caractères consécutivement, et tous les Passenger Name Record créés à une date donnée, commencent par les mêmes caractères. D’autres fournisseurs utilisent certains codes pour certaines compagnies aériennes. Ces méthodes limitent le nombre de chiffres qu’un criminel peut deviner.

Le système Mondial de distribution

On peut noter que les criminels peuvent créer des systèmes mondiaux de distribution pour les données sensibles des passagers et les utiliser pour le phishing avancé. Imaginez la situation suivante : M. Schneider réserve un vol pour Berlin et, dix minutes plus tard, il reçoit un courrier électronique de sa compagnie aérienne lui demandant de confirmer les informations relatives à sa carte de crédit. Le courrier contient son nom et prénom, l’aéroport de destination et d’autres détails exacts de la réservation. Cela semble-t-il crédible ? Bien sûr que si ! M. Schneider clique très probablement sur le lien contenu dans le courriel et fournit les informations relatives à sa carte de crédit (à partir d’un faux site web).

Les pirates peuvent également modifier les détails du billet avec un Passenger Name Record et après avoir recherché certaines données personnelles. Ils peuvent annuler le billet et faire transférer l’argent sur leur propre compte. Ou bien ils pourraient changer le prénom et le nom, ainsi que le numéro d’identification du propriétaire du billet, ce qui permettrait à une autre personne d’effectuer le voyage (étonnamment, mais certains services le permettent). Un criminel plus prudent ou plus généreux pourrait simplement changer les détails du voyageur fréquent et recevoir les miles qui seraient dus au détenteur du billet d’origine. En fin de compte, en utilisant les Passengers Name Record comme mots de passe, les Global Distribution Systems offrent aux pirates des vols gratuits, des miles illimités et même de l’argent. Autre fait extrêmement décevant : bien que les experts et les médias aient soulevé cette question à plusieurs reprises ces dernières années, les sociétés de Global Distribution Systems refusent toujours d’enregistrer les accès aux Passengers Name Record. Par conséquent, la majorité des cas d’abus ne peuvent être suivis. Seuls quelques incidents ont été signalés – par exemple, lorsque des criminels ont volé des billets à des voyageurs et que les victimes se sont ensuite plaintes. Avec une fraude et un vol de données plus intelligents, les spécialistes ne peuvent pas estimer l’ampleur du problème.

Nohl et Nikodijevic sont sûrs que les clients ne peuvent pas s’attendre à des changements fondamentaux dans un avenir proche. L’ensemble du système de réservation doit être réécrit et malheureusement, seule une augmentation de la fraude Passenger Name Record peut inciter les compagnies aériennes à le faire. Pour l’instant, il est recommandé de recourir à deux procédures simples dont celle de rester vigilant et ne jamais poster sa carte d’embarquement en ligne. Même les anciens billets contiennent encore une grande partie des informations personnelles d’un passager.