Chaos Communication Congress – Vulnérabilité des données personnelles liées aux billets d’avions

1
125

Lors de la 33e édition du Chaos Communication Congress (CCC) qui s’est tenu à Hambourg en Allemagne le 27 décembre, les hackers ont pointé du doigt l’immense vulnérabilité des informations personnelles liées aux billets d’avion.

D’après la conférence sur le sujet qui s’est tenue à l’occasion du CCC 2016, tout est possible pour un attaquant ! Karsten Nohl et Nemanja Nikodijevic, deux chercheurs en sécurité informatique, ont démontré à l’occasion de la conférence “33C3 Chaos Communication Congress” qu’il était facile de consulter l’intégralité des informations personnelles des voyageurs (on parle ici de plusieurs centaines de millions de passagers aériens par an), de détourner les points de fidélité, et même de modifier ou annuler un vol via les failles du système de réservation des aéroports !

Aucun piratage n’a été requis !

Alors que la question des échanges des données des passagers aériens fait débat chez les politiques européens, il semblerait que ce ne soit tout le système de réservation qui soit à revoir d’urgence…

Les deux experts se sont penchés sur les Global Distribution Systems (GDS), des entreprises privées faisant le lien entre les vendeurs de billets d’avion et les compagnies aériennes, utilisés actuellement par l’ensemble des sites Internet de voyage et de réservation. On peut citer les trois principaux acteurs GDS que sont Amadeus, Sabre, Galileo, Travelport.

Les GDS gardent tout en mémoire, y compris les réservations effectuées auprès des compagnies aériennes, et stockent un très grand nombre de données personnelles : adresse, adresse mail, numéro de téléphone, numéro de carte de fidélité, détails de réservations annexes (voiture, hôtel), date de naissance, numéro de passeport, et parfois même numéro de carte de crédit. Ces données, appelées dans le jargon données des dossiers passagers (PNR pour Passenger Name Record), sont parfois dupliquées chez plusieurs GDS.

« La question des données des passagers aériens a fait l’objet de nombreux débats en Europe. On pourrait penser que ce système, aux avant-postes de ces désaccords, est sécurisé », explique Karsten Nohl, un habitué du CCC, qui dirige l’entreprise Security Research Labs. En réalité, « aucun hacking n’a été nécessaire » pour accéder à ces données, précise-t-il.

En effet, les GDS et tout l’écosystème l’environnant ont été mis en place il y a quelques décennies et aucune mesure sérieuse de protection des données n’a été implémentée depuis. Les deux experts rappellent que les informations personnelles stockées par les GDS sont accessibles à de très nombreux salariés au sein des sites de vente de voyage et des compagnies aériennes et qu’il suffit de posséder la référence de la réservation ainsi que le nom du passager pour obtenir un accès complet aux données de vol et d’identification.

Toujours selon les deux experts, les procédures de sécurité mise ne place actuellement sont ridiculement faibles et se limitent à un mot de passe très basique pour les employés d’agence ou de site de voyage, voire pas de mot de passe du tout pour les salariés des compagnies aériennes.

Des données personnelles en accès libre

Encore plus inquiétant, les informations privées des voyageurs sont aussi accessible à quiconque dispose du numéro de réservation composé de 5 chiffres et lettres et du nom du passager. Comment se procurer cela vous demandez-vous ? Cela est facile puisque les numéros de réservation figurent en masse sur les cartes d’embarquement et sur les étiquettes à codes-barres des bagages jetées à la poubelle ou sur les photos de ces dernières postée sur les réseaux sociaux par certains voyageurs. Du reste, seul le code barre visible sur les cartes suffit !

« Tandis qu’une majorité du débat sur Internet porte aujourd’hui sur des outils d’authentification à deux ou trois niveaux, ces trois systèmes ne proposent même pas d’authentification de premier niveau. »

Mais ce n’est pas tout puisque les deux chercheurs ont également découvert un autre moyen d’obtenir facilement un numéro de réservation, même sans accès aux cartes d’embarquement. En effet, il s’avère que ces précieux numéros ne sont pas générés de manière tout à fait aléatoire : il est donc possible de tester très rapidement des milliers de possibilités afin d’obtenir le numéro de réservation associé à un nom donné. Bonus pour les pirates, les sites publics de compagnie aérienne proposant un accès à cette base de données géante ne limitaient même pas les tentatives d’accès ! Depuis la conférence du CCC, certains ont commencé à mettre en place des dispositifs comme des captchas ou un plafond de requêtes par adresse IP.

Karsten Nohl est allé jusqu’à réaliser une démonstration en direct sur la chaîne de télévision allemande WDR : il a réussi à retrouver le billet de vol d’un des journalistes présent et à le modifier.

Un danger pour 3 milliards de passagers aériens

Ces faiblesses au sein des GDS datant des années 1970 mettent en péril les données de plus de 3 milliards de voyageurs dans le monde ! Les possibilités malveillantes sont multiples. Lire les données personnelles des voyageurs aériens, engranger leurs points de fidélité, modifier leurs billets, voire les annuler et détourner le remboursement… Il est même possible de procéder à la modification des données d’un vol, c’est à dire de voyager à la place de la victime (surtout au sein de l’espace Schengen) en changeant le nom, prénom, mail et la date du vol. Autre possibilité évoquée par les chercheurs : se faire rembourser un vol au détriment de la victime !

A la suite des remarques des deux chercheurs, plusieurs sites d’entreprises gérant des GDS et de compagnies aériennes ont mis en place ces derniers jours des mécanismes de protection qui rendent plus difficiles l’accès aux données des passagers, sans que cela ne change la logique de fonctionnement du système. La base GDS est actuellement l’une des plus importante base de données mondiale, et est pourtant l’une des moins sécurisée… cruel dilemme !

Notons que ces faiblesses avaient déjà été mise en avant lors de l’après 11 Septembre.

 

Sources : Le Monde, CCC, 01Net, Reuters, Numerama

Les commentaires sont fermés.